Domain Spoofing Nedir? Nasıl Çalışır? Nasıl Önlenir?

tarihinde gönderilmiş tarafından

Domain Spoofing Nedir?

Domain spoofing, yani alan adı sahteciliği, siber suçluların kullanıcıları kişisel veya hassas bilgilerini paylaşmaları için kandırmak amacıyla sahte e-posta mesajları veya web siteleri oluşturduğu bir tür dijital saldırıdır. Özellikle son yıllarda popüler olan bu siber güvenlik tehdidinin temel hedefi, oluşturulan sahte iletişimlerin tamamen gerçekmiş gibi görünmesini sağlamak ve böylece kullanıcıların güvenini kazanarak oturum açma bilgileri, finansal veriler gibi önemli bilgileri ele geçirmektir. Sahtecilik yoluyla gerçekleştirilen bu saldırılar, kullanıcıların farkında olmadan tehlikeli içeriklerle etkileşime girmesine zemin hazırlar.

Domain Spoofing Nasıl Çalışır?

Alan adı sahteciliği, internet üzerindeki Alan Adı Sistemi (DNS) içinde bulunan güvenlik açıklarından faydalanılarak gerçekleştirilir. Siber saldırganlar, gerçek alan adlarına çok benzeyen sahte alan adları veya alt alan adları oluşturarak meşru bir web sitesini taklit eder. Örneğin, saldırganlar “google.com” adresine görsel olarak çok benzeyen ama fazladan bir harf içeren “gooogle.com” gibi alan adları üreterek kullanıcıların bu sahte siteyi orijinalinden ayırt etmesini güçleştirir.

Alan adı sahteciliğinde yaygın olarak kullanılan bazı teknikler şunlardır:

  1.     Homoglif Kullanımı: Homoglifler, görünüş olarak birbirine çok benzeyen fakat teknik  olarak farklı karakterlerdir. Örneğin, Kiril alfabesindeki “а” harfi ile Latin alfabesindeki “a” harfi görsel olarak aynıdır ancak yazılımsal olarak farklıdır. Siber saldırganlar, bu benzer karakterleri kullanarak meşru alan adlarına neredeyse birebir benzeyen sahte alan adları oluşturabilir. Örneğin, “apple.com” adresinde Latin “a” yerine Kiril “а” harfi kullanıldığında görsel olarak fark edilmesi oldukça zor bir sahte adres ortaya çıkar.
  2.     Alt Alan Adı Sahteciliği:
     Bu yöntemde saldırganlar, meşru bir kuruluşun alt alan adı gibi görünen ancak aslında sahte olan alan adları üretir. Örneğin, “login.google.com.example.com” gibi bir adres, ilk bakışta gerçek Google alt alan adı gibi algılanabilir. Bu tür sahte alt alanlarda kullanıcıların giriş bilgilerini elde etmek için sahte oturum açma sayfaları oluşturulur.
  3.     Typosquatting (Yazım Hatası Tabanlı Sahtecilik):
     Bu yöntem, kullanıcıların sık yaptığı yazım hatalarından yararlanır. Saldırganlar, orijinal alan adına çok benzeyen ancak yanlış yazılmış bir alan adı kaydeder. Örneğin, “goolge.com” veya “googel.com” gibi adresler, kullanıcıların yanlışlıkla ziyaret etmesi için tuzak olarak kullanılır. Bu sahte siteler, kullanıcıların kişisel bilgilerini çalmak veya zararlı yazılımlar yaymak amacıyla hazırlanır.

Domain Spoofing Türleri Nelerdir?

İnternet ortamında sıklıkla gündeme gelen Domain Spoofing türlerini Türkiye’nin önde gelen sunucu sağlayıcılarından olan MarkaHost adresi olarak sizin için sıraladık.

E-posta Tabanlı Domain Spoofing

E-posta sahteciliği, bir e-postanın gerçekte farklı bir kaynaktan gönderildiği halde, alıcıya meşru bir kaynaktan geliyormuş gibi gösterilmesine dayanır. Buradaki temel hedef, kullanıcıları yanıltarak e-postanın sahte bir adresten değil, güvenilir bir kaynaktan geldiğine inandırmaktır.

Günümüzde DomainKeys Identified Mail (DKIM) ve Domain-based Message Authentication, Reporting & Conformance (DMARC) gibi gelişmiş e-posta güvenlik standartları, daha güçlü doğrulama süreçleri sunarak bir web sitesinin alan adını taklit ederek sahte e-posta göndermeyi zorlaştırır. Ancak, biraz daha eski ve açık bir sistem olan Basit Posta Aktarım Protokolü (SMTP), saldırganların sahte e-posta başlıkları oluşturarak başka bir kaynağın kimliğine bürünmesine imkân tanır. Bu nedenle bir e-posta alındığında, görünürde yasal bir işletmeden geliyor gibi olsa da, aslında bir siber suçlu tarafından gönderilmiş olabilir.

Sahte e-postalar genellikle devlet kurumlarını, şirketleri ya da kişisel tanıdıkları taklit eder. Temel amaç, alıcının kötü amaçlı bir bağlantıya tıklamasını sağlamak veya hassas bilgilerin paylaşılmasını tetiklemektir.

Örneğin:
 • Gerçek: isim@markahost()com()tr
 • Sahte: _isim@markahost()org

Kullanıcılar çoğu zaman yüzeysel bir bakışla sahte e-posta adreslerini fark etmeyebilir ve dolandırıcılarla etkileşime geçebilir. Bu tür sahtecilikler, genellikle kimlik avı saldırılarıyla birleştirilerek, farkında olmayan kişilerin tuzağa düşürülmesinde kullanılır. 

Web Sitesi Tabanlı Domain Spoofing

Web sitesi sahteciliği, orijinal bir web sitesinin kötü amaçlı bir kopyasının oluşturulmasını içerir. Bu yöntemde saldırganlar, ziyaretçileri sahte bir web sitesinin gerçek bir site olduğuna ikna etmeye çalışır.

Kullanıcılar bu tür sahte sitelere girdiklerinde, kimlik bilgilerini, şifrelerini veya finansal verilerini paylaşmaya yönlendirilir. Bu tür saldırıların en sık hedef aldığı alanların başında bankacılık ve finans sektörleri gelir. Sahte siteler, kullanıcıların hiçbir şeyden şüphelenmeden gerçekmiş gibi işlem yapmasını sağlar ve dolandırıcılık faaliyetlerine zemin hazırlar.

DNS Tabanlı Domain Spoofing

Peki, DNS spoofing nedir? DNS sahteciliği olarak bilinen saldırı türü; DNS hijacking veya DNS önbellek zehirlenmesi (DNS cache poisoning) gibi isimlerle de anılır. Bu saldırı türünde siber korsanlar, internet trafiğini sahte sunuculara veya kimlik avı amacıyla hazırlanmış web sitelerine yönlendirmek için DNS sistemini hedef alır. DNS, bir alan adını doğru IP adresine çeviren sistemdir. Her cihaz, daha önce ziyaret edilen sitelerin IP adreslerini içeren bir DNS önbelleği tutar. Bu bilgiler, Time To Live (TTL) süresi dolana kadar saklanır ve sonraki sorguların daha hızlı yanıtlanmasını sağlar.

Saldırganlar, DNS sunucularındaki açıklardan yararlanarak DNS kayıtlarını değiştirir ve bir alan adının yanlış bir IP adresine yönlendirilmesini sağlar. Böylece kullanıcılar, gerçek web sitesi yerine birebir kopyalanmış sahte bir siteye ulaşır. Bu tür saldırıların tespiti zordur çünkü sahte siteler, orijinallerle neredeyse tamamen aynı görünür.

DNS önbellek zehirlenmesi saldırılarının amacı; kötü amaçlı yazılım indirtmek, ortadaki adam saldırıları (MITM) yoluyla veri akışını izlemek veya banka hesap bilgileri gibi kritik verileri çalmaktır. 

Domain Spoofing ile Phishing Arasındaki Fark Nedir?

Bir siber saldırgan, aynı saldırı planı içinde hem alan adı sahteciliğini (Domain Spoofing) hem de kimlik avını (Phishing) birlikte kullanabilir. Ancak bu iki kavram temelde birbirinden ayrılır.

Phishing, yani kimlik avı, doğrudan bir saldırı yöntemidir. Burada amaç, hedef kişiyi kandırarak saldırganın istediği bir eylemi gerçekleştirmeye ikna etmektir. Bu eylem, genellikle zararlı bir bağlantıya tıklamak ya da tehlikeli bir dosyayı açmak gibi olabilir. Phishing saldırılarında aldatma, psikolojik manipülasyon ve sosyal mühendislik teknikleri ön plandadır.

Öte yandan, Spoofing yani sahtecilik, kimlik avı gibi saldırı türlerini daha ikna edici ve etkili hale getirmenin bir yöntemidir. Bu teknikle saldırgan, örneğin sahte bir e-posta aracılığıyla mesajını güvenilir bir kaynaktan gönderilmiş gibi gösterir. Bu da alıcının mesajın gerçek olduğuna inanmasını ve saldırganın yönlendirdiği eylemi gerçekleştirme ihtimalini artırır.

Kısacası, Phishing bir saldırı biçimidir. Spoofing ise bu ve benzeri saldırıları destekleyen, güven kazanmak için kullanılan bir tekniktir. Bu iki yöntem bir arada kullanıldığında, siber tehditlerin başarı şansı önemli ölçüde yükselir

Domain Spoofing Saldırısının Belirtileri Nelerdir?

Erken uyarı işaretlerini bilmek, zararları en aza indirmek ve olası saldırıları önlemek için önemli bir adımdır. Aşağıda, alan adınızın ele geçirildiğini gösteren bazı temel belirtiler yer almaktadır:

Beklenmedik ve Şüpheli E-postalar: Güvendiğiniz kişilerden gelen alışılmadık e-postalar önemli bir uyarı işaretidir. Tanıdığınız birinden kişisel bilgi, ödeme ya da şifre talep eden bir e-posta alırsanız dikkatli olun. Bu tür sahte e-postalar ilk bakışta gerçek gibi görünebilir ancak genellikle küçük tutarsızlıklar veya garip ifadeler içerir. Saldırganlar, kimliklerini gizlemek için tanıdık e-posta adreslerini taklit ederek bu yolla hassas bilgilere ulaşmaya çalışırlar.

Şüpheli Linkler veya Ekler İçeren E-postalar: Kimlik avı saldırılarında, sahte alan adları üzerinden gelen ve zararlı bağlantılar veya ekler içeren e-postalar kullanılır. Bu e-postalar oldukça gerçekçi görünebilse de ancak bağlantılara tıklandığında sahte sitelere yönlendirilerek giriş bilgileriniz çalınabilir veya cihazınıza zararlı yazılım bulaşabilir. Gönderenin alan adını ve linklerin URL’lerini dikkatlice kontrol etmek bu tür tehditleri fark etmenizi sağlar.

Yetkisiz Erişim Uyarıları: Birden fazla oturum açma uyarısı, tanınmayan cihazlardan girişler veya olağandışı hesap aktiviteleri, alan adı sahteciliğinin (Domain Spoofing) işareti olabilir. Tanımadığınız bölgelerden veya cihazlardan gelen bu tür uyarılar, sistemlerinizin ele geçirilmiş olabileceğini gösterebilir.

Açıklanamayan Hesap Değişiklikleri: Hesabınızda sizin yapmadığınız şifre değişiklikleri, yeni e-posta adreslerinin eklenmesi veya güvenlik ayarlarının değiştirilmesi gibi durumlar, saldırganların hesabınızı ele geçirmiş olabileceğini gösteren diğer işaretlerdendir. Bu tür değişiklikler, dolandırıcılık, spam gönderimi veya kurumsal operasyonlara zarar verme gibi kötü amaçlarla kullanılabilir.

Domain Spoofing Nasıl Tespit Edilir?

Alan adı sahteciliğini (domain spoofing) tespit etmek için dikkatli ve proaktif bir iletişim yaklaşımı gereklidir. Bu tür saldırı girişimlerini fark edebilmek için bazı temel yöntemler aşağıdakilerdir:

E-posta Başlıkları (Headers): Bir e-postanın gerçekten iddia ettiği kişiden gelip gelmediğini anlamak için e-posta başlıkları incelenmelidir. “Kimden” (From) ve “Yanıtla” (Reply-To) alanlarında tutarsızlıklar olup olmadığına bakılmalıdır. Gönderenin adresi doğru gibi görünse de, başlıklarda yer alan kaynak bilgileri veya iletim yolunda görülen hatalar e-postanın sahte olduğunu gösterebilir.

DMARC, DKIM ve SPF Kayıtları: DMARC (Domain-based Message Authentication, Reporting & Conformance), DKIM (DomainKeys Identified Mail) ve SPF (Sender Policy Framework) gibi e-posta doğrulama protokollerinin uygulanması, e-posta güvenliğini artırır. Bu kayıtların doğru bir şekilde yapılandırılması, alan adınızın yetkisiz kişilerce taklit edilmesini engeller ve sahte e-postaların tespit edilmesini kolaylaştırır.

Kullanıcı Eğitimi: Çalışanların düzenli olarak eğitilmesi, kimlik avı (phishing) ve diğer taklit saldırılarını tanıyabilmeleri açısından kritik öneme sahiptir. Kötü dil bilgisi, hassas bilgi talepleri veya tanımadık gönderici adresleri gibi şüpheli e-postaların nasıl ayırt edileceği öğretilmelidir. Öte yandan, saldırganların yöntemlerini sürekli geliştirmesi nedeniyle, bu tür farkındalık eğitimlerinin sürekli olması gerekmektedir.

Güvenlik Araçlarının Kullanımı: Alan adı taklit saldırılarının tespiti, özel güvenlik araçlarıyla daha etkili hale getirilebilir. E-posta güvenlik duvarları ve gelişmiş tehdit koruma yazılımları, gelen iletileri analiz ederek anormallikleri tespit eder ve şüpheli mesajları engeller. Makine öğrenimi algoritmaları kullanan bu sistemler, yeni ortaya çıkan saldırı tekniklerine karşı daha iyi uyum sağlar ve tehditleri zarara yol açmadan önce tespit etme yeteneğini artırır.

Domain Spoofing Nasıl Önlenir?

Alan adı sahteciliğine karşı korunmak isteyen kurumlar ve bireyler, güçlü siber güvenlik önlemleri almalı ve aşağıda sıralanan yöntemleri uygulamalıdır.

Öncelikle, E-posta doğrulama protokollerinin hayata geçirilmesi gereklidir. E-posta, alan adı taklit saldırılarında en çok tercih edilen yöntemlerden biridir. Siber saldırganlar, güvenilir bir işletmenin e-posta adresini taklit ederek kişileri aldatmayı hedefler. Bu tür tehditlerin önüne geçebilmek için SPF (Gönderen Politikası Çerçevesi), DKIM (Alan Adı Anahtarlarıyla İmzalanmış Posta) ve DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uyum) gibi e-posta doğrulama sistemlerinin uygulanması şarttır. SPF, mesajın gönderildiği sunucunun yetkili olup olmadığını kontrol ederken, DKIM mesajın içeriğinin değiştirilmediğini doğrular. DMARC ise bu iki sistemi bir araya getirerek e-postanın güvenilirliğini denetler ve raporlama yapar. Bu mekanizmalar sayesinde, sahte e-postalar kullanıcıya ulaşmadan engellenir ve kimlik avı saldırıları büyük ölçüde önlenir.

Bir diğer önemli adım ise DNS kayıtlarının sürekli takip edilmesidir. Bazı saldırganlar, DNS kayıtlarını değiştirerek kullanıcıları sahte internet sitelerine yönlendirmeye çalışır. Bu tür girişimlerin önüne geçmek için DNS kayıtlarının düzenli aralıklarla kontrol edilmesi ve yetkisiz değişikliklerin hızla fark edilip müdahale edilmesi gerekir. DNSSEC (Alan Adı Sistemi Güvenlik Uzantıları) gibi ilave güvenlik önlemleri, DNS sorgularının doğruluğunu ve güvenilirliğini sağlar. Bu sayede kötü niyetli kişilerin DNS kayıtları üzerinde değişiklik yapması oldukça güçleşir.

Ayrıca, kullanıcı bilincinin artırılması da siber güvenliğin temel taşlarından biridir. Çoğu zaman en zayıf halka insan unsurudur; çalışanlar ve kullanıcılar alan adı sahteciliğine veya kimlik avı girişimlerine karşı bilgili değilse, saldırganların hedefi olabilirler. Bu nedenle, düzenli olarak bilinçlendirme eğitimleri verilmeli, çalışanlara şüpheli e-postaları nasıl tanıyacakları, bilinmeyen bağlantılara tıklamamaları gerektiği ve gizli bilgilerini güvenilir olmayan sitelerle paylaşmamaları gerektiği öğretilmelidir. Bu tür eğitimlerin, uygulamalı simülasyonlar ve testlerle desteklenmesi, çalışanların gerçek tehditler karşısında daha hazırlıklı olmasını sağlar.

Son olarak, ileri düzey güvenlik çözümlerinin kullanılması büyük önem taşır. Alan adı sahteciliğine karşı koruma sağlayan gelişmiş güvenlik yazılımları ve araçları, şüpheli internet adreslerini, e-postaları veya aktiviteleri tespit ederek otomatik şekilde engelleyebilir. Örneğin, kimlik avına karşı geliştirilen güvenlik yazılımları, zararlı içerikleri analiz eder ve kullanıcıları uyarır. Web filtreleme sistemleri ise kullanıcıların tehlikeli sitelere erişimini önleyebilir. Bu tür teknolojilerin etkin şekilde kullanılması, hem kurum içi ağları hem de kullanıcıları siber tehditlerden korur.

Alan Adı Sahiplerinin Sorumlulukları ve Alınması Gereken Önlemler

Domain Spoofing saldırılarına karşı korunmak için çok katmanlı bir yaklaşım benimsemek gereklidir. Öncelikle, güvenlik protokollerinin uygulanması büyük önem taşır. Alan adınızdan gönderilen e-postaların doğrulanabilmesi için DMARC, DKIM ve SPF gibi kayıtların aktif şekilde kullanılması gerekir. DMARC, e-postayı alan tarafın, mesajın gerçekten belirtilen kaynaktan gelip gelmediğini anlamasına yardımcı olurken, DKIM dijital imza yoluyla e-postanın kaynağını doğrular. SPF ise hangi mail sunucularının sizin adınıza e-posta göndermeye yetkili olduğunu belirler.

Bununla birlikte, düzenli izleme faaliyetleri de savunmanın önemli bir parçasıdır. Alan adı kayıtlarının ve DNS ayarlarının düzenli olarak kontrol edilmesi, yetkisiz değişikliklerin erken aşamada fark edilmesine yardımcı olur. Bu tür kontroller sayesinde, potansiyel bir güvenlik ihlali gerçekleşmeden önce önlem alınabilir. DNS kayıtlarında yapılan değişiklikleri anlık olarak bildiren uyarı sistemleri kullanmak da bu süreci daha güvenli hale getirir.

Bir diğer önemli unsur ise kullanıcı farkındalığının artırılmasıdır. Çalışanlara, alan adı taklit saldırılarının ne olduğunu, nasıl gerçekleştirildiğini ve nasıl fark edilebileceğini öğretmek gerekir. Gerçek yaşamdan örnekler vererek ve şüpheli bir e-posta veya olağan dışı bir etkinlik gördüklerinde bunu bildirmeleri gerektiğini anlatarak güvenlik bilincini yükseltmek mümkündür. Bu tür bilinçli bir çalışma kültürü, taklit saldırılarının başarı şansını önemli ölçüde azaltır.

Son olarak, olay müdahale planlarının önceden hazırlanması büyük önem taşır. Bir taklit saldırısı gerçekleştiğinde hasarı en aza indirebilmek için ne yapılması gerektiğini önceden belirlemek gerekir. Böyle bir plan, etkilenen taraflara nasıl bilgi verileceğini, olayın nasıl araştırılacağını ve etkilenen hesapların nasıl kurtarılacağını açıkça tanımlamalıdır. Bu sayede, saldırı anında hızlı ve etkili bir yanıt verilerek, kurum üzerindeki olumsuz etkiler minimuma indirilebilir.