Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / REGISTRAR ABUSE RESPONSE FAILURE

Kayıt Kuruluşuna Yapılan Kötüye Kullanım Bildirimleri Görmezden Geliniyor

The Enablers Registry·Editorial mirror·/tr/registrar-abuse-response-failure

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

İstismar Bildirimleri Sonuçsuz Kaldığında — Kayıt Kuruluşunun Yanıt Vermemesi
ARAŞTIRMA • Okuma süresi: 15–18 dakika

İstismar Bildirimleri Sonuçsuz Kaldığında: Kayıt Kuruluşları Nasıl Siber Suçların Sessiz Ortakları Haline Geliyor?

Kanıtlarla dolu istismar raporları gönderiyoruz — VirusTotal tespitleri, ekran görüntüleri, kara liste verileri, antivirüs taramaları. Kayıt kuruluşları bunları alıyor ama hiçbir şey yapmıyor. Bazı kimlik avı alan adları hâlâ aktif durumda 1.788 saat ve 13 ayrı rapor. Bu bir sistem hatası değil — bir tasarım tercihidir. İşte veriler.

Bozuk Sistem

Gönderdiğimiz her ihbar, net bir protokol izler: alan adı URL’si, kategori (kimlik avı, kripto para hırsızlığı, sahte kumarhane), VirusTotal’da tespit sayısı, ekran görüntüsü kanıtları ve kara liste durumu. Bunlar belirsiz şikayetler değil — adli inceleme paketleridir. Yine de, bir alan adı birbiri ardına çevrimiçi kalmaya devam ediyor haftalar ve aylar ilk raporun ardından.

Kayıt kuruluşlarının kötüye kullanım bildirimlerini nasıl ele almaları gerektiğine dair evrensel bir standart bulunmamaktadır. Hizmet Düzeyi Anlaşması (SLA) yoktur. Zorunlu yanıt süresi yoktur. Hesap verebilirlik ölçütü yoktur. Her kayıt kuruluşu, işaretlenen bir alan adının 16 antivirüs motoru dikkat gerektirir — ya da şablon bir yanıt ve kapatılmış bir bilet.

1.788 saat
payscrow[.]bet — 6 bildirim ve 16 VirusTotal tespitine rağmen 75 gündür aktif durumda. Kayıt kuruluşu: IANA #69 / Identity Digital.

16 antivirüs motorunu kim geçersiz kılar?

Bu, hiçbir kayıt kuruluşunun cevaplamak istemediği bir sorudur. Ne zaman Kaspersky, ESET, Fortinet, BitDefender, Sophos, G-Data ve VirusTotal’da on güvenlik sağlayıcısı daha bir etki alanını zararlı olarak işaretliyor — ve kayıt kuruluşunun kötüye kullanım ekibi karar veriyor "herhangi bir işlem gerekmez" — O kararı tam olarak kim verdi?

Şu saçmalığı bir düşünün: Bir kayıt kuruluşundaki tek bir kötüye kullanım analisti, aşağıdakilerin bir araya getirdiği tehdit istihbaratını geçersiz kılıyor: 16 bağımsız antivirüs motoru, her biri milyarlarca veri noktası, özel araştırma laboratuvarları ve onlarca yıllık deneyime sahip. Neye dayanarak? IANA #3765 veya GlobalDomainGroup’taki bir kötüye kullanım ekibi, Kaspersky’ninkini aşan hangi tarama altyapısını kullanıyor?

Cevap basit: hiçbiri. Taramıyorlar. Doğrulamıyorlar. Ya rapora hiç bakmıyorlar ya da mali bir hesaplama yapıyorlar: aktif bir alan adı gelir getirir; askıya alınmış bir alan adı ise getirmez.

[REDACTED] — 13 adet kötüye kullanım bildirimi gönderildi. 13 adet VirusTotal algılaması. 1.352 saat (56 gün) boyunca aktif kaldı. Alan adı kayıt kuruluşu ([REDACTED] / Verisign), antivirüs yazılımı üreticileri, tehdit istihbarat platformları ve ICANN uyum biriminden kanıtlar aldı. Alan adı hâlâ aktif durumda. Bunun kabul edilebilir olduğuna kim karar verdi?

Bunun ne anlama geldiğini açıkça belirtelim: Kayıt kuruluşundaki bir kişi, 13 bağımsız güvenlik sağlayıcısından gelen kanıtları ve 13 ayrı kötüye kullanım raporunu inceledi — ve kendi yargısının daha üstün olduğuna karar verdi. Bu bir hata değil. Bu bir politika.

Saygı Duydukları Hiçbir Otorite Yok

Kayıt kuruluşlarının güvenilir kabul ettiği tek bir antivirüs üreticisi sayın. Sayamazsınız — çünkü böyle bir üretici yok.

  • Kaspersky — etki alanını algılar mı? Göz ardı edildi.
  • ESET — bunu kimlik avı olarak mı işaretliyor? Göz ardı edildi.
  • Fortinet — bunu ağ düzeyinde engelliyor mu? Göz ardı edildi.
  • BitDefender — milyonlarca kullanıcıyı uyarıyor mu? Görmezden geliniyor.
  • Google Safe Browsing — Dünyadaki en büyük internet güvenlik sistemi mi? Yine de göz ardı ediliyor.

Şöyle ki algılama eşiği yok bu durumda kayıt kuruluşunun harekete geçmesi zorunludur. Ne 5 ne de 10 ne de 16. Bir alan adı, VirusTotal’da tüm antivirüs sağlayıcıları tarafından işaretlenebilir, birden fazla kara listeye girebilir ve hakkında bir düzine kötüye kullanım raporu sunulabilir — ancak kayıt kuruluşunun herhangi bir işlem yapma konusunda yasal olarak bağlayıcı bir yükümlülüğü yoktur.

Bu, sistemdeki bir eksiklik değildir. İşte sistem budur. Alan adı kayıt sektörü, güvenlik araştırmacılarının, antivirüs üreticilerinin veya tehdit istihbarat platformlarının bulgularına uymalarını gerektirecek herhangi bir bağlayıcı standardı başarıyla önlemiştir. 70 motorun 16’sı bir alan adını tespit ediyorsa — bu “belki” değildir. Bu bir fikir birliğidir. Ancak, tarama altyapısı bulunmayan ve alan adının aktif kalmasından maddi çıkar sağlayan kayıt kuruluşunun kötüye kullanım ekibi, bu fikir birliğini hiçe saymaktadır.

0
Kayıt kuruluşlarının bulgularını dikkate alan antivirüs yazılımı üreticilerinin sayısı zorunlu harekete geçmek için. Ne Kaspersky, ne ESET, ne de Google. Hiçbiri.
Sektörün Sessizlik Duvarı — IANA #3765, IANA #69, GlobalDomainGroup, apiname, IANA #1861, IANA #472 ve Endurance tarafından engellenmiş, bildirilen 50.000'den fazla alan adı hâlâ çevrimiçi durumda
50.000'den fazla kötüye kullanım bildirimi yapıldı. Kayıt kuruluşu duvarı ayakta. Alan adları çevrimiçi kalıyor.

Mali Teşvik

Alan adı kayıt kuruluşları, her alan adı için yıllık ücret alır. Her askıya alma işlemi gelir kaybı anlamına gelir. Her kaldırma işlemi ise para iadesi riski oluşturur. Alan adlarını aktif tutmak için doğrudan ve ölçülebilir bir mali teşvik vardır; buna karşın, kötüye kullanım bildirimlerini göz ardı etmenin herhangi bir mali cezası yoktur.

Bu durum tüm altyapı sağlayıcıları için geçerli değildir. IANA #1910Örneğin, bu şirket kötüye kullanım bildirimlerini verimli bir şekilde işler ve alan adı kayıtlarından aynı şekilde gelir elde etmez. Bu ayrım önemlidir: Bildiriminizi işleyen şirket, alan adının çevrimiçi kalmasından kâr elde ediyorsa, çıkar çatışması yapısaldır.

Kanıt: Raporlarımızdan Alınan Canlı Veriler

Aşağıda, Mart 2026 tarihli kötüye kullanım bildirim günlüğümüzden bir örnek yer almaktadır. Her bir kayıt, hala aktif raporlama anında, daha önceki raporlara ve teyit edilmiş tespitlere rağmen.

Etki AlanıRaporlarAktif (saat)VTBLKayıt Görevlisinin Görevini Kötüye Kullanması
payscrow[.]bet61.788 saat16IANA #69
[REDACTED]41.783 saat41Dayanıklılık
[REDACTED]21.781 saat3IANA #3765
airdrop[.]autos31.364 saat41IANA #1923
[REDACTED]71.363 saat141IANA #69
[REDACTED]71.363 saat91IANA #69
[REDACTED]41.363 saat101[REDACTED]
aavleaderboard[.]assetavenue[.]capital21.359 saat1IdentityDigital
[REDACTED]21.359 saat1IANA #1068
[REDACTED]131.352 saat13[REDACTED]
[REDACTED]41.330 saat14Verisign
zordex[.]us31.314 saat14[REDACTED]
[REDACTED]21.278 saat15GlobalDomainGroup
[REDACTED]21.278 saat71IANA #3765
[REDACTED]41.278 saat41IANA #3765
[REDACTED]21.278 saat61IANA #69
[REDACTED]41.228 saat16IANA #1861
[REDACTED]21.049 saat16IANA #472
amlinfo[.]now21.033 saat2IANA #1861
[REDACTED]41.026 saat14GlobalDomainGroup
[REDACTED]61.021 saat14[REDACTED]
menty[.]sbs4985 saat16[REDACTED]
[REDACTED]5971 saat14[REDACTED]
amlbot[.]im4965 saat6nic.im
[REDACTED]2879 saat2GlobalDomainGroup
[REDACTED]5826 saat11PDR
[REDACTED]2803h2IANA #3765
[REDACTED]2751 saat6PDR
[REDACTED]2730h3Dayanıklılık
[REDACTED]2717h15GlobalDomainGroup
[REDACTED]2717h6GlobalDomainGroup
[REDACTED]2674 saat2PIR
[REDACTED]2652 saat2PIR
[REDACTED]2618 saat15IANA #1923
[REDACTED]5539 saat14INWX
[REDACTED]5535 saat12GlobalDomainGroup
[REDACTED]2496 saat3IANA #1509
[REDACTED]2448 saat1[REDACTED]
patricksstash[.]to2427 saat2tonic.to
[REDACTED]2427 saat5IANA #3765
[REDACTED]2402h14[REDACTED]
[REDACTED]2388 saat16[REDACTED]
dexscreener[.]at2328 saat16nic.at
[REDACTED]116Verisign
appether[.]fi1131

VT = Yaklaşık 70 tarama motoru üzerinden VirusTotal tarafından tespit edilenler. "Aktif" = Sorunun üst mercilere iletildiği anda ilk tespitinden bu yana geçen saat sayısı. Veriler: THE ENABLERS REGISTRY kötüye kullanım bildirim günlüğü, 19–21 Mart 2026.

Rakamlar Yalan Söylemez

Ortalama Etkinlik Süresi

943 saat

Aktif çalışma saatleri bilinen tüm alan adlarında ortalama ~39 gün

Maksimum Etkin Süre

1.788 saat

payscrow[.]bet — 75 gün, 6 rapor, VT:16

Gönderilen Raporların Toplam Sayısı

150+

Sadece bu örneklemdeki tüm alanlara ilişkin birleştirilmiş raporlar

VT değeri 10 veya daha fazla olan alan adları

22

10'dan fazla antivirüs motoru tarafından kötü amaçlı olduğu doğrulanan ve hâlâ aktif olan tüm alan adlarının neredeyse yarısı

Tekrar Suçlular: Kayıt Memurlarına Göre Dağılım

Tüm kayıt kuruluşları aynı değildir. Verilerimiz net bir eğilim ortaya koyuyor: Bazı kayıt kuruluşları, en kötü performans gösteren kayıtlar arasında defalarca yer alıyor.

[REDACTED]

  • [REDACTED] — 1.352 saat, 13 rapor, VT:13
  • zordex[.]us — 1.314 saat, 3 bildirim, VT:14
  • [REDACTED] — 1.021 saat, 6 bildirim, VT:14
  • [REDACTED] — 971 saat, 5 rapor, VT:14

4 alan adı. Toplamda: 4.658 saatlik suç altyapısı. 27 rapor göz ardı edildi.

GlobalDomainGroup

  • [REDACTED] — 1.026 saat, VT:14
  • [REDACTED] — 717 saat, VT:15
  • [REDACTED] — 717 saat, VT:6
  • [REDACTED] — 535 saat, VT:12
  • [REDACTED] — 356 saat, VT:9
  • [REDACTED] — 357 saat, VT:2
  • [REDACTED] — 327 saat, VT:6
  • [REDACTED] — 327 saat, VT:2
  • [REDACTED] — 293 saat, VT:1
  • [REDACTED] — 365 saat, VT:1

10 alan. Veri setimizdeki en büyük tek küme. Bir tesadüf değil, bir örüntü.

IANA #69 / IdentityDigital

  • payscrow[.]bet — 1.788 saat, 6 rapor, VT:16
  • [REDACTED] — 1.363 saat, 7 rapor, VT:14, BL:1
  • [REDACTED] — 1.363 saat, 7 rapor, VT:9, BL:1
  • [REDACTED] — 1.278 saat, 2 rapor, VT:6, BL:1

IANA #69: Toplam 22 bildirim, 5.792 saatlik dolandırıcılık. amlstats, haftada bir olmak üzere 7 bildirim aldı ve hepsini başarıyla atlattı.

IANA #3765 (IANA #3765)

  • [REDACTED] — 1.781 saat, VT:3
  • [REDACTED] — 1.278 saat, VT:7, BL:1
  • [REDACTED] — 1.278 saat, 4 rapor, VT:4, BL:1
  • [REDACTED] — 803h, VT:2
  • [REDACTED] — 427 saat, VT:5
  • [REDACTED] — 310 saat, VT:2
  • [REDACTED] — ilk rapor, VT:1
  • [REDACTED] — ilk haber, VT:2

8 alan adı. Toplamda 5.877 saatten fazla. Daha önce incelenenler: IANA #3765 Değerlendirmesi — hiçbir meşru kullanım bulunamadı.

IANA #1861

  • [REDACTED] — 1.228 saat, 4 rapor, VT:16
  • amlinfo[.]now — 1.033 saat, 2 rapor, VT:2
  • [REDACTED] — 712 saat, 2 rapor, VT:1

[REDACTED]: 16 antivirüs algılaması, 4 rapor ve 51 gündür çevrimiçi. IANA #1861’un kötüye kullanım ekibi neyi kabul edilebilir buldu?

IANA #472

  • [REDACTED] — 1.049 saat, 2 rapor, VT:16
  • aave[.]events — ilk rapor, VT:2, BL:1
  • [REDACTED] — ilk rapor, VT:9

[REDACTED]: 16 VT tespiti ve 44 gün süren suç faaliyeti. IANA #472, ICANN tarafından akredite edilmiş bir kayıt kuruluşudur.

[REDACTED]

  • [REDACTED] — 388 saat, VT:16
  • [REDACTED] — 402h, VT:14

Her iki alan adı da 14–16 antivirüs algılamasına sahip. İkinci raporun ardından her ikisi de hâlâ aktif durumda.

Siber Suçlardaki Gizli Ortaklar — ABUSE IGNORED Hub'a bağlı ve saatlerce hareketsiz kalan kayıt kuruluşlarını gösteren ağ şeması
Her düğüm, ICANN tarafından akredite edilmiş bir kayıt kuruluşudur. Her sayı, kötüye kullanım bildirimlerinden sonra çevrimiçi kalmaya devam eden, doğrulanmış suç altyapısının saat cinsinden süresini gösterir.

Kayıt Memurunun Toplam Hareketsizlik Saatleri

IANA #3765
5.877 saat
IANA #69
5.792 saat
GlobalDomainGroup
5.520 saat ve üzeri
[REDACTED]
4.658 saat
IANA #1861
2.973 saat
Dayanıklılık
2.513 saat
IANA #472
1.049 saat+
[REDACTED]
790h

Mart 2026 veri setimizde, kayıt kuruluşu bazında bildirilen tüm alan adlarının toplam aktif saatleri. Bu, kayıt kuruluşlarındaki suistimallerin toplamını yansıtmamaktadır — yalnızca bir örneklemde gözlemlediğimiz verileri göstermektedir.

Bizim Göndürdüklerimiz ve Onların Yaptıkları

Her THE ENABLERS REGISTRY kötüye kullanım raporu şunları içerir:

Raporumuz Şunları İçeriyor

  • Alan adı URL’si ve kayıt bilgileri
  • VirusTotal puanı ve üretici isimleri
  • Oltalama sitesinin tam sayfa ekran görüntüsü
  • Kategori sınıflandırması (possibly phishing, para sızdırma, dolandırıcı kumarhane)
  • Birden fazla beslemeden gelen kara liste durumu
  • URLscan.io veya benzeri tarama sonuçları
  • Önceki rapor geçmişi ve zaman çizelgesi

Kayıt Memurunun Yanıtı

  • Hiçbir yanıt yok (en yaygın durum)
  • Şablon onayı, işlem yapılmayacak
  • "İnceleme yapacağız" — haftalar geçiyor, alan adı hala duruyor
  • "Bu iddiayı doğrulayamıyoruz" — 16 VT tespitine rağmen
  • Bilet, çözüm bulunamadan kapatıldı
  • Daha önce sunulmuş kanıtlara ilişkin talep

Kayıt kuruluşunun harekete geçmemesi üzerine, konuyu ICANN Uyumluluğu (compliance@icann.org). Yukarıda gösterilen her durumda, ICANN ikinci veya sonraki raporlara bilgi olarak eklenmişti. Sonuçlar mı? Onlar da yoktu.

Var Olmayan ICANN Standardı

ICANN'ın Kayıt Kuruluşu Akreditasyon Anlaşması (RAA), Madde 3.18 Kayıt kuruluşlarının bir kötüye kullanım irtibat kişisi bulundurmasını ve kötüye kullanım bildirimlerini “araştırmak ve uygun şekilde yanıt vermek için makul ve derhal önlemler almasını” şart koşmaktadır.

Uygulamada, “makul ve zamanında” ifadesi, kayıt memurunun ne anlama geldiğine karar verdiği şekilde yorumlanır. Şu durumlar söz konusudur:

  • Maksimum yanıt süresi yok — bir kayıt kuruluşu haftalarca bekleyip bunun “makul” olduğunu iddia edebilir
  • Zorunlu askıya alma eşiği yoktur — 16 VT algılaması, otomatik olarak herhangi bir eylemi tetiklemez
  • Kamuya açık raporlama zorunluluğu yoktur — kayıt kuruluşlarının, kaç adet bildirim aldıklarını veya bunlara ilişkin ne tür önlemler aldıklarını açıklamak zorunda değiller
  • Anlamlı bir ceza yok — ICANN, suistimallere karşı harekete geçmemesi nedeniyle akreditasyonu nadiren iptal etmiştir

Sonuç olarak: Kayıt kuruluşları, kötüye kullanımla mücadeleyi yerine getirilmesi gereken bir güvenlik yükümlülüğü olarak değil, en aza indirilmesi gereken bir maliyet kalemi olarak görüyor.

Standart ne olmalıdır: 24 saat içinde bildirim. VT değeri 10 veya üzeri olan alan adları için 72 saat içinde işlem. 3 veya daha fazla bağımsız bildirimden sonra otomatik askıya alma. Kötüye kullanım istatistiklerine ilişkin üç ayda bir kamuya açık raporlama. Sistematik kurallara uymama durumunda mali yaptırımlar.

Yazım hatası ile alan adı ele geçirme konusunda önlem alıyorlar — ancak kimlik avı konusunda değil

İşte bu durumu daha da saçma kılan şey şudur: Aylarca kimlik avı bildirimlerini görmezden gelen bu kayıt kuruluşlarından bazıları, belirli bir tür kötüye kullanım konusunda son derece etkilidir: yazım hatası yoluyla alan adı ele geçirme — tanınmış marka adlarıyla karıştırılabilecek kadar benzer olan alan adları.

Neden? Çünkü yazım hatası istismarı, şu hedefleri hedef alır: yasal bütçeleri olan şirketler. Google, Apple veya Microsoft, benzer bir alan adı hakkında UDRP şikâyetinde bulunduğunda, kayıt kuruluşları birkaç gün içinde harekete geçer. Ticari marka suistimali nedeniyle dava açılma ve ICANN yaptırımlarına maruz kalma tehdidi gerçek ve acildir.

Peki ya bir kimlik avı sitesi bireysel kurbanların parasını çaldığında? Ya bir kripto para hırsızı birinin tüm birikimlerini boşalttığında? Ya sahte bir kumarhane, oyunculardan kredi kartı bilgilerini çaldığında? Şirketin hukuk ekibi yok. UDRP başvurusu yok. Aciliyet yok. Kayıt kuruluşunun kötüye kullanımla mücadele birimi farklı bir standart uygulamaktadır — bu standartta, mağdurun maddi kaybı, bir markanın ticari marka endişesiyle aynı tepkiyi tetiklememektedir.

Yazım Hatası Kötüye Kullanımı Raporu

  • Marka sahibi UDRP başvurusu yapar
  • Kayıt Sorumlusu birkaç gün içinde yanıt verir
  • Alan adı hızlı bir şekilde kilitlendi/askıya alındı
  • Harekete geçmemenin hukuki sonuçları

Kimlik Avı/Dolandırıcılık Bildirimi

  • Mağdurlar/araştırmacılar istismar bildirimlerinde bulunuyor
  • Kayıt memuru haftalarca/aylarca aldırış etmiyor
  • Alan adı, geçerlilik süresi dolana kadar aktif kalır
  • Harekete geçmemenin hiçbir sonucu yok

Mesaj açık: Kayıt kuruluşları insanları değil, markaları korur. Onlar, zarara dair kanıtlara değil, yasal yetkiye tepki gösteriyorlar. Raporlarımız, herhangi bir UDRP başvurusu kadar objektif kanıt içeriyor — VirusTotal taramaları, antivirüs tespitleri, kara liste doğrulamaları, ekran görüntüleri — ancak yine de yanıtlanmıyorlar.

Onların İşini Biz Yapıyoruz — Üstelik Ücretsiz

THE ENABLERS REGISTRY, bir bağımsız, ticari amaç gütmeyen proje. Alan adlarını tarıyoruz. Tehditleri sınıflandırıyoruz. VirusTotal raporları oluşturuyoruz. Ekran görüntüleri alıyoruz. Ayrıntılı suistimal raporları hazırlayıp bunları kayıt operatörlerine, kayıt merkezlerine ve ICANN’e gönderiyoruz. Kayıt kuruluşlarının kendilerinin yapması gereken güvenlik işlerini biz üstleniyoruz.

Ve işte rahatsız edici gerçek şu: Bazı kayıt kuruluşları gerçekten de bu işi yapıyor. Bazı kayıt operatörleri kendi alan adı tarama altyapılarını işletiyor, özel tehdit istihbaratı kaynaklarını kullanıyor ve kötü amaçlı alan adlarını kimse ihbar etmeden önce proaktif olarak askıya alıyor. Bunlar gerçekten var. Bunun mümkün olduğunu kanıtlıyorlar.

Etkin Olarak Çalışan Kayıt Kuruluşları

  • Dahili tarama araçlarını çalıştırın (özel, kamuya açık olmayan)
  • Bariz dolandırıcılık amaçlı alan adlarını proaktif olarak askıya alın
  • Kötüye kullanım bildirimlerine birkaç saat içinde yanıt verin
  • Araştırmacılar ve kolluk kuvvetleriyle işbirliği yapmak
  • VirusTotal verilerini ve kara liste verilerini delil olarak kabul etmek

Bu kayıt kuruluşları, kötüye kullanım vakalarına hızlı müdahalenin hem teknik hem de ekonomik açıdan mümkün olduğunu kanıtlamaktadır.

Dolandırıcıları Koruyan Kayıt Kuruluşları

  • Hiçbir tür tarama altyapısı bulunmamaktadır
  • Raporları bekleyin, sonra da onları görmezden gelin
  • Şablon yanıtlar, bilet kapatıldı, alan adı aktif
  • Raporları aldığını reddetme (IANA #1479 kalıbı)
  • Hiçbir kanıt olmadan 16 antivirüs motorunu geçersiz kılmak

Bu kayıt sağlayıcılar, güvenliği değil geliri tercih ettiler. Onların harekete geçmemesi, işlerini ücretsiz olarak yapan güvenlik camiası tarafından destekleniyor.

Asıl mesele, kötüye kullanım vakalarına hızlı müdahalenin mümkün olup olmadığı değildir. Öyle. Asıl soru, bazı kayıt kuruluşlarının bunu yapmamayı tercih etmelerinin nedeni nedir? Ve cevap, her seferinde aynı yapısal teşvike geri dönüyor: Aktif alan adları gelir getirir. Askıya alınmış alan adları ise gelir getirmez.

Uygulanması Gereken Yürürlükteki Standartlar

Kayıt kuruluşlarını hesap verebilir kılmaya yönelik bir çerçeve zaten mevcut — ancak bu çerçeve uygulanmıyor:

ICANN RAA Madde 3.18

Şu Kayıt Kurumu Akreditasyon Anlaşması Kayıt kuruluşlarının kötüye kullanımla ilgili irtibat bilgilerini güncel tutmalarını ve bildirimleri derhal soruşturmalarını zorunlu kılar. Ancak bu kuralın uygulanması fiilen yok denecek kadar azdır.

APWG

Şu Kimlik Avına Karşı Çalışma Grubu sorunun boyutunu ortaya koyan üç aylık kimlik avı eğilim raporları yayınlamaktadır. Alan adı kayıt kuruluşları APWG’ye katılmaktadır — ancak yine de bu raporları görmezden gelmektedir.

FTC’nin Aldığı Önlemler

Şu FTC’nin IANA #1479’ya gönderdiği uyarı mektubu (Aralık 2024) dolandırıcılık sorununa çözüm getirilmemesini açıkça eleştirdi. ICANN’ın kendi Uyum departmanı bildirimlerimizi alıyor ama yanıt vermiyor.

DNSAI

Şu DNS Kötüye Kullanım Enstitüsü (PIR tarafından) DAAR gibi araçlar geliştirir ve en iyi uygulamaları teşvik eder. Oysa PIR’ın kendi kayıt defterinde [REDACTED] (674 saat aktif, VT:2) ve [REDACTED] (652 saat) barındırılmaktadır.

50.000 Alan Adı ve Artmaya Devam Ediyor

Yukarıdaki örnekler bir tek bir haftaya ait örnek. Gerçek boyutlar akıl almaz.

50.000+
Sistemimizde aktif olan kimlik avı alan adları yok etme listesi hakkında kötüye kullanım bildirimi alınmış olanlar. Bunların çoğu hala çevrimiçi.

Sürekli güncellenen tehdit beslememiz şu adreste yer almaktadır: content_active.txt Kötü amaçlı olduğu bildirilen 50.000'den fazla alan adı içermektedir. Her biri en az bir kötüye kullanım bildirimi almıştır. Birçoğu ise birden fazla bildirim almıştır. Kayıt kuruluşları, VirusTotal taramaları, ekran görüntüleri ve kara liste onayları gibi kanıtları almış, ancak halkın güvenliği yerine müşterilerini tercih etmiştir.

Çünkü işte bu tam da budur: bir seçenek. Kayıt kuruluşunun müşterisi, alan adını kaydettiren kişidir — yani dolandırıcı. Kayıt kuruluşunun müşterisi, sahte bir banka sayfası yüzünden birikimlerini kaybeden büyükanne, cüzdanı boşaltılan kripto para kullanıcısı ya da [REDACTED] hesabı çalınan oyuncu değildir. Kayıt kuruluşu her seferinde dolandırıcıyı seçmiştir.

50.000 Alan Adı, Sıfır Sorumluluk — IANA #3765, IANA #69, GlobalDomainGroup, apiname ve IANA #1861’dan “HİÇBİR İŞLEM YAPILMADI” damgalı kimlik avı alan adlarının üretim hattı
Kötüye kullanım bildirimleri konveyör bandı: Alan adları VT:16 tespitleriyle sisteme girer, üzerlerine “EYLEM YOK” damgası vurulur ve akış devam eder. Kayıt kuruluşlarının adları, kendi oluşturdukları satırın üzerinde parıldar.

Rapordan Mağdurlara: Her Saat Önemlidir

Bir kötüye kullanım raporu gönderdiğimiz anda bir süre başlar. O andan itibaren, kayıt kuruluşu resmi olarak haberdar yönetimleri altındaki bir alan adının dolandırıcılık amacıyla kullanıldığına dair. Bu bildirimin ardından harekete geçilmemesi durumunda geçen her saat, bir saatlik bilinçli suç ortaklığı.

Veri setimizdeki birçok alan adı, sadece birkaç bildirimden kurtulmakla kalmıyor — bunlar, kendi kayıt süresi sona eriyor. Tam bir döngü izliyorlar: kayıt oluyorlar, dolandırıcılık yapıyorlar, ihbar ediliyorlar, tekrar ihbar ediliyorlar, ICANN’a sevk ediliyorlar, dolandırıcılığa devam ediyorlar, süresi doğal olarak doluyor. Kayıt kuruluşu kayıt ücretini aldı. Dolandırıcı çaldığı parayı aldı. Mağdurlar ise hiçbir şey alamadı.

IANA #1479 bizim gönderdiğimize dair belgelenmiş kanıtlarımız bulunan kötüye kullanım bildirimlerini aldığını kamuoyu önünde reddetmiştir. Bir kayıt kuruluşu, sorumluluktan kaçınmak için bildirimlerin alındığı konusunda yalan söylediğinde, mağdurların başvurabileceği ne gibi yollar vardır? Belki de kayıt kuruluşlarının kötüye kullanım vakalarını ele alma sürecine ilişkin bağımsız bir denetim yapılmasının zamanı gelmiştir — gönderilen bildirimler ile alınan önlemleri karşılaştıran ve sonuçları kamuoyuna açıklanan bir denetim.

Zamanında yapılan bir alan adı askıya alma işlemi, sadece idari bir işlem değildir. Bu, sadece “kayıt sahibine bir rahatsızlık” da değildir. Bu bir kurtarma operasyonu. Zamanında yasaklanan her alan adı, boşaltılmamış bir cüzdan, çalınmamış bir kimlik bilgisi, boşaltılmamış bir tasarruf hesabı demektir. Alan adı kayıt kuruluşları, bu kaldırmaları “sansür” ya da “iş faaliyetlerinin aksatılması” olarak nitelendirerek, tam olarak kimin çıkarlarına hizmet ettiklerini ortaya koyuyorlar.

Kayıt Kuruluşları Mağdurlara Tazminat Ödemeli mi?

İşte tüm alan adı kayıt sektörünün ele almayı reddettiği soru şudur:

Bir kayıt kuruluşu, VirusTotal tespitleri, ekran görüntüleri ve kara liste doğrulamalarını içeren kanıta dayalı bir kötüye kullanım ihbarı aldığında harekete geçmemeyi tercih ederse, o andan itibaren mağdurlara verilen zararlardan sorumlu olur mu?

Bir düşünün. Kayıt memuru raporu aldığında, o zaman artık bilgisiz değil. Kendilerine, ellerindeki bir alan adının para, erişim bilgileri ve kimlik bilgilerini çalmak için kullanıldığına dair kanıtlarla birlikte bilgi verilmiştir. O andan itibaren, harekete geçmemek ihmal değildir — bu bir bilinçli karar zarara yol açmak.

  • Kayıt kurumu sorumluluk üstlenmeye hazır mı? kendilerine uyarıldıkları bir alan adı üzerinden çalınan her dolar için mi?
  • Kayıt kuruluşu mağdurlara tazminat ödemeye hazır mı? istismar ihbarı yapıldıktan ve göz ardı edildikten sonra parasını kaybedenler kimler?
  • Kayıt kuruluşunun hukuk ekibi 16 antivirüs motorunun birbiriyle çeliştiği bir durumda, “inceledik ve herhangi bir sorun bulamadık” demek savunulabilir bir tutum olmadığını anlıyor musunuz?

Eğer bu üç sorunun cevabı da “hayır” ise — o zaman alan adını aktif tutmak için geçerli bir neden yoktur. Önce askıya alın, sonra soruşturun. Sorumlu altyapı sağlayıcıları işte böyle çalışır. IANA #1910 işte böyle çalışır. Hetzner ve IANA #433 gibi barındırma sağlayıcıları da giderek bu şekilde çalışmaya başlıyor. Yalnızca alan adı kayıt kuruluşları, dolandırıcının rahatlığının mağdurun güvenliğinden daha öncelikli olduğu bir modele sarılıyor.

Bedelini Kim Öder?

Bir kimlik avı alan adının çevrimiçi kaldığı her saat, doğrudan mağdurların sayısına yansır:

  • Kripto para hırsızlığı amaçlı alan adları (farewex, perowex, xerowex, naebex) — cüzdanlar saniyeler içinde boşaltıldı. [REDACTED] alan adlarının toplam 4.658 saatlik süresi, binlerce potansiyel cüzdan boşaltma vakasını temsil ediyor.
  • Sahte kumarhane / CS:GO dolandırıcılıkları (casebattle varyantları, csgomy, ggddrop, tastdrop) — oyun severleri hedef alan kredi kartı dolandırıcılığı, kimlik hırsızlığı ve hileli sonuçlar.
  • Sahte hizmet kimliği taklidi (dexscreener[.]at, [REDACTED][.]receipts[.]sh, amlbot[.]im, [REDACTED]) — kimlik bilgilerinin çalınmasına ve maddi kayıplara yol açan marka kimliğinin taklit edilmesi.
  • Kartlama altyapısı (patricksstash, stashhpatrick) — çalınan ödeme verilerini diğer suçlulara satmak.
75
gün payscrow[.]bet sitesinin faaliyette olması — bu durum, güvenlik görevlilerine durumun bildirilmesi, kamera kayıtlarının gösterilmesi ve şüphelinin kimliğinin tespit edilmesinden sonra bir yankesiciyi 2,5 ay boyunca alışveriş merkezinde serbest bırakmakla eşdeğerdi.

Neler Değişmeli?

Mevcut model, tasarım gereği işlevsizdir. Kayıt kuruluşları, alan adlarının aktif kalmasından kâr elde ediyor. ICANN’ın yaptırım gücü yoktur. Mağdurların başvurabileceği bir yol yoktur. Sorunu çözecek çözüm şudur:

  1. Kötüye kullanım vakalarına müdahale için zorunlu SLA: 24 saat içinde bildirim, 72 saat içinde ilk müdahale, 7 gün içinde eskalasyon süreci. Ölçülebilir. Denetlenebilir.
  2. Otomatik askıya alma eşiği: VirusTotal'da 10 veya daha fazla tespit ve 2 veya daha fazla bağımsız rapor bulunan herhangi bir alan adı, inceleme tamamlanana kadar askıya alınmalıdır — tersi geçerli değildir.
  3. Kamuya açık istismar şeffaflık raporları: ICANN tarafından akredite edilmiş her kayıt kuruluşu, üç ayda bir şu bilgileri yayınlamak zorundadır: alınan bildirimler, ortalama yanıt süresi, alınan önlemler ve askıya alınan alan adları.
  4. Uygunsuzluk durumunda uygulanacak para cezaları: Sistematik olarak gerekli önlemleri almayan kayıt kurumlarına kademeli para cezaları uygulanacaktır. Tekrar eden ihlallerde akreditasyon hakkı elinden alınacaktır.
  5. Bağımsız istismar ombudsmanı: Kayıt kuruluşlarının kararlarını gözden geçirebilen, eylemsizliği ortadan kaldırabilen ve kritik tehditler karşısında askıya alma işlemlerini hızlandırabilen bağımsız bir kurum.
  6. Kayıt kuruluşları arası yasak listesi: Bir kayıt sahibinin seri suistimalci olduğu teyit edildiğinde, tüm akredite kayıt kuruluşları bu durumdan haberdar edilmelidir. Artık alan adı alışverişi yapılmamalıdır.

THE ENABLERS REGISTRY Bu Konuda Ne Yaptı?

Raporlar yazıp sektörün kendi kendine düzelmesini beklemiyoruz. Şeffaflığı zorunlu kılan ve harekete geçmemenin sonuçlarını ortaya çıkaran sistemler kuruyoruz.

Kamuya Açık Tehdit Veritabanı

Şunu oluşturduk ve bakımını yapıyoruz: yok etme listesi — 50.000'den fazla kötü amaçlı alan adını içeren, herkese açık ve sürekli güncellenen bir veritabanı. Artık gönderdiğimiz her kötüye kullanım raporu, alan adı kayıt kuruluşuna şu bilgileri iletir: Bu alan adı, halka açık bir veritabanında listelenecektir. Müşterilerinin alan adlarının potansiyel mağdurları, raporun ne zaman sunulduğunu ve kayıt kuruluşunun bunu ne kadar süre boyunca görmezden geldiğini görebilecekler. Bu durum kayıt kuruluşları için rahatsız edici — ve asıl amaç da bu.

Etki Alanı Tehdit Sayfaları

Şu anda işaretlediğimiz her alan adının şu adreste kendine ait bir sayfası bulunmaktadır: enablers.report/domain — kapsamlı analiz, yapay zeka tarafından oluşturulan tehdit açıklaması ve bir Tehdit Müdahale Pipeline İşlemin tam aşamalarını gösterir: tespit, rapor gönderimi, üst mercilere iletme, ICANN’a bildirim. Durumlar gerçek zamanlı olarak güncellenir. Tam şeffaflık sağlamak amacıyla artık her takip raporuna kesin zaman damgaları ekliyoruz. Herkes, kayıt kuruluşunun ne zaman bilgilendirildiğini ve ne kadar süre boyunca harekete geçmemeyi tercih ettiğini tam olarak görebilir.

Escalation Sistemi — Su Baskını Bildirimi Yapılmamıştır

Biz yapıyoruz değil kayıt kuruluşlarını mükerrer raporlarla boğmamak. Vakaların %98’inde, tek bir ilk rapor göndeririz ve bunu tekrarlamayız — hem günlük e-posta sınırlamaları nedeniyle hem de toplu mükerrerliklerin yanlış bir yaklaşım olduğuna inandığımız için. Bir alan adı yalnızca tekrar aktif olarak tespit edildi yeni bir tarama sırasında. Her aktif etki alanına günlük olarak spam göndersek, bu günde 50.000 e-posta anlamına gelir. Bunu yapmıyoruz. Eskalasyon sistemimiz, yapay zeka ile analiz edilmiş tehdit özetleri, güncellenmiş VirusTotal puanları ve kayıt kuruluşunun tehdidi ne kadar süredir görmezden geldiğini gösteren saat sayısını içeren takip raporları (#2, #3 vb.) oluşturur.

Topluluk Yeniden Raporlama Aracı

[REDACTED] botumuzda @EnablersRegistry, kullanıcılar artık şunları gönderebilir: yeniden raporlar İlk raporumuzdan sonra hâlâ aktif olduğunu tespit ettikleri alan adları için. Çok sayıda kayıt kuruluşu dolandırıcıların serbestçe faaliyet göstermesine izin veriyor ve yol açtıkları feci hasarı görmezden geldiği için, topluluğa sesini duyurma imkânı sunuyoruz. Bir kayıt kuruluşu bizi dinlemiyorsa, belki de gerçek kullanıcılardan gelen çok sayıda bağımsız raporu dikkate alacaktır.

Dolandırıcılık amaçlı proje sahiplerine ve ihmalkâr kayıt kuruluşlarına bir uyarı: Eğer sizi “kitlesel raporlarla bombardımana tuttuğumuzu” düşünüyorsanız — öyle bir şey yapmıyoruz. Her tespit olayı için tek bir rapor gönderiyoruz. Çok sayıda rapor alıyorsanız, bunun nedeni çok sayıda kötü amaçlı alan adınızın olmasıdır. Raporların hepsi farklıdır; farklı alan adlarına aittir ve farklı kanıtlar içerir. Sorun, raporlama hacmimiz değil — asıl sorun alan adı portföyünüz.

THE ENABLERS REGISTRY — markaları korumuyoruz. Mağdurları savunmuyoruz. Kimlik avı ve dolandırıcılık altyapılarını ortadan kaldırıyoruz.

Sonuç

16 antivirüs motoru bir alan adının zararlı olduğunu belirtiyorken, bir kayıt kuruluşu “herhangi bir işlem yapılmayacak” diyorsa, bu kayıt kuruluşu kendi muhakemesini kullanmıyor — gelirini koruyor. 13 ayrı kötüye kullanım bildirimi yanıtlanmadığında ve bir alan adı 1.352 saat boyunca aktif kaldığında, kayıt kuruluşu birikmiş iş yükünü işlemiyor; suç işlenmesine olanak sağlıyor.

Bu makaledeki veriler teorik değildir. Bunlar, 2026 yılının Mart ayında tek bir haftaya ait gerçek zamanlı kötüye kullanım bildirim kayıtlarımızdır — ve bunların arkasında yatan şey ise 50.000'den fazla bildirilen alan adı sürekli güncellenen tehdit akışımızda. Bu, tek bir kayıt kuruluşuyla sınırlı bir sorun değildir. Bu bir sektör genelinde yaşanan başarısızlık çünkü mevcut model kârlı olduğu için, alan adı kayıt ekosistemi bu sorunu çözmeye hiç ilgi duymuyor.

Kayıt kuruluşlarının bulgularına uymakla yükümlü olduğu hiçbir antivirüs yazılımı üreticisi yoktur. Zorunlu bir eylemi tetikleyen herhangi bir tespit eşiği yoktur. Hizmet Düzeyi Anlaşması (SLA) yoktur, hesap verme yükümlülüğü yoktur, sonuçları yoktur. Kayıt kuruluşu ücreti tahsil eder, raporları görmezden gelir ve bedelini mağdurlar öder.

Kayıt kuruluşları tarafsız altyapı sağlayıcıları değildir. Onlar, her gün, görmezden geldikleri her ihbarla birlikte suç altyapısının çevrimiçi kalmasını tercih eden “kapı bekçileri”dir. Zararın farkındalar. Bunu durdurma gücüne sahipler. Ama bunu yapmamayı tercih ediyorlar. Ve ta ki biri onlara tek önemli soruyu sorana kadar — "Askıya almayı reddettiğiniz alan adlarının mağdurlarına tazminat ödemeyi kabul ediyor musunuz?" — hiçbir şey değişmeyecek.

Sektörün bu konudaki sessizliği, en net cevaptır.

#AbuseReports#ICANN#Registrars#VirusTotal#PhishingTakedown#Investigation#CyberSecurity

İlgili Araştırmalar

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings