Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / TR / TAKEDOWN ANATOMY

Kimlik Avı Kaldırmasının Anatomisi: 500.000'den Fazla Alan Adı Kaldırıldı

The Enablers Registry·Editorial mirror·/tr/takedown-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Bir Kaldırmanın Anatomisi
SİBER SAVUNMA

Bir Kaldırmanın Anatomisi: THE ENABLERS REGISTRY Siber Suçları Nasıl Engelliyor?

2019’da yeni kurulmuş bir girişimden, 400.000’den fazla zararlı alan adını devre dışı bırakan bir güç merkezine dönüşen THE ENABLERS REGISTRY’un serüveni, topluluğun, teknolojinin ve zorlu bir süreç sonunda kazanılan itibarın gücünü ortaya koyuyor.

Kaldırma süreci — algılama tarayıcısı, biyometrik doğrulama, kayıt memurunun tokmağı, DNS çıkarma, alan adı mezar taşı
Medium’da yer alan eşlik eden yazı: Kimlik Avı Operasyonlarına Karşı Doğrudan Savaş

Çevrimiçi dolandırıcılıkla yürütülen amansız mücadelede THE ENABLERS REGISTRY, 2019 yılında özel bir girişim olarak başlayıp son derece etkili bir operasyona dönüşerek kritik bir güç haline gelmiştir. Misyonumuz nettir: Oltalama ve dolandırıcılık altyapısını ortadan kaldırarak dünya çapındaki kullanıcıları korumak. Bu sadece kötü amaçlı bağlantıları engellemekle kalmaz; siber saldırıların yapısını anlamak ve kaynağında durdurmakla ilgilidir.

Gelişim Sürecimiz: Haftalardan Dakikalara

Tek bir kimlik avı bağlantısının nasıl tam bir kaldırma zincirini tetiklediği

THE ENABLERS REGISTRY kurulduğunda, kötü amaçlı bir alan adını devre dışı bırakmak haftalar sürebilirdi. Yıllar içinde büyüdük, güçlü iş birlikleri kurduk ve siber güvenlik alanındaki kilit aktörlerin güvenini kazandık. Odak noktamız her zaman kimlik avına (possibly phishing) yönelik olmuştur; bu da bize bu alanda uzmanlık kazanmamızı ve yanlış pozitif oranını en düşük seviyede tutmamızı sağlamıştır.

Eskiden haftalar süren işler, bugün artık sadece birkaç dakikaya indirgenebiliyor. Bu hızlanma, sürekli yenilikçiliğimizin ve bugüne kadar kazandığımız sağlam itibarımızın bir kanıtıdır.

Kaldırma Süreci

1. Hızlı Tespit ve Doğrulama

Tespit, platformumuz üzerinden topluluk tarafından yapılan bildirimler yoluyla gerçekleşir [REDACTED] Botu, otomatik izleme ve tehdit istihbaratı akışları. Ekiplerimiz, yanlış pozitif oranını en aza indirmek için tehditleri hızla doğrular.

2. Derinlemesine Analiz ve Kanıt Toplama

Analistlerimiz tehdidi derinlemesine inceleyerek, özelliklerini, hedeflerini ve yöntemlerini belirler. Bu süreç, yük analizi, altyapı haritalandırması ve mağdurlar üzerindeki etkisinin değerlendirilmesini içerir. Her bir kanıt titizlikle belgelenir.

3. Stratejik Koordinasyon ve Eylem

İşte burada itibarımız devreye giriyor. Yüzlerce barındırma sağlayıcısı, alan adı kayıt kuruluşu ve kolluk kuvvetleriyle sağlam ilişkiler kurduk. THE ENABLERS REGISTRY bir bildirim gönderdiğinde, 50'den fazla sistem talebimizi anında algılıyor. Bildirilen bir site gerçekten de kimlik avı amaçlıysa, dakikalar içinde kapatılabilir.

4. Tasfiye ve İzleme

Nihai hedef, sitenin tamamen kaldırılmasıdır. Kaldırma işlemi başlatıldığında, sitenin çevrimdışı olduğunu ve bu durumda kalmaya devam ettiğini doğrulamak için durumu takip ediyoruz. Yaptığımız çalışmalar sonucunda, şu sitelerin faaliyetleri başarıyla durdurulmuştur: 500.000'den fazla zararlı alan adı 2019 yılından bu yana, kaldırma işleminden sonra yapılan sürekli doğrulama sayesinde, yeniden ortaya çıkan altyapıyı birkaç saat içinde tespit etmek amacıyla.

Operasyonel Metodoloji: Otomasyon, Doğruluk, Ölçek

Modelimiz şunları bir araya getirir: toplum haberleri ile otomatik algılama sistemleri ve hassas analitik. Pipeline, kaliteden ödün vermeden tek bir rapordan günde binlerce kaldırma işlemine kadar ölçeklenebilecek şekilde tasarlanmıştır.

  • Özel olarak geliştirilmiş ayrıştırıcılar SEO arama sonuçlarını, sponsorlu reklam yerleşimlerini ve Google Ads’i kimlik avı belirtileri açısından sürekli olarak tarayarak, tehditleri ilk ücretli reklam yerleşiminin gerçekleştiği anda tespit eder.
  • Tespit edilen tehditler otomatik olarak şu adrese gönderilir: 50'den fazla antivirüs üreticisi ve tehdit istihbaratı akışları sayesinde, tespit edildikten sonraki ilk dakikalarda küresel engelleme kapsamını en üst düzeye çıkarır.
  • Şu şekilde bir %0,5’in altında yanlış pozitif oranı, 1'den fazla 100.000 onaylanmış rapor — bu da sistemlerimizin sadece hızlı değil, aynı zamanda son derece doğru olduğunu kanıtlıyor.
  • Gönderim yapan doğrulanmış katkıcılar 100'den fazla doğru rapor verilir "güvenilir" bu durum, denetim gerektirmeden doğrudan bildirim yapılmasına olanak tanıyarak, bilinen ihbarcılar için içeriğin kaldırma süresini önemli ölçüde kısaltmaktadır.
  • Canlı bir hasar sayacı dolandırıcıların yol açtığı mali kaybı — ortalama alan adı değeri ve tanıtım maliyetlerine dayanarak (~tipik kripto dolandırıcılığı düzenlemeleri için alan adı başına 15 $ civarında) — tahmin etmektedir.

Tespit Kaynakları — Tehditlerin Ortaya Çıktığı Yerler

Kimlik avı altyapısı nadiren gizlenir — aksine kendini gösterir. Potansiyel müşteri bilgilerini şu kaynaklardan topluyoruz:

  • [REDACTED] Bot raporları topluluğumuzdan şu yolla @EnablersRegistry — birincil kamu kaynaklı alım.
  • SEO ve ücretli reklam analiz araçları — Google Ads, Bing, Yandex; kripto cüzdanı, borsa ve köprü ile ilgili sponsorlu anahtar kelimeler sürekli olarak izlenmektedir.
  • Tehdit istihbaratı akışları ortaklarımız ve araştırmacılar tarafından bizimle paylaşılan.
  • Honeypot ağları ve dolandırıcılar çalınan verileri kullanmaya çalıştıklarında bize uyarı gönderen tohum cümlesi tabanlı canary token'ları.
  • WHOIS ve sertifika şeffaflığı korunan markaları hedef alan, yeni kaydedilmiş benzer alan adlarının izlenmesi.

Kanıtın Korunması — Kalıcı Dijital Kayıt

Kaldırmalar sadece ilk adımdır. Kanıtların korunması bizim en önemli önceliğimizdir — çünkü silinmiş bir alan adı, geriye hiçbir kayıt kalmazsa soruşturmacılar için hiçbir işe yaramaz.

  • Tespit edilen her alan adı kamuya açık tarayıcılar aracılığıyla arşivlenmiştir (urlscan.io, Wayback Machine, kendi anlık görüntü alma Pipeline süreçlerimiz) aracılığıyla sitelerin tam parmak izlerini elde etmek — HTML, ekran görüntüleri, ağ istekleri, JavaScript yükleri.
  • Her işlem bir dijital kayıt saldırganlar tarafından silinmeye karşı dayanıklı olan — şu adreste açık olarak yayınlanan GitHub yok etme listesi ve ScamIntelLogs arşivi.
  • Arşivler, dolandırıcıların yönetici panellerini, [REDACTED] sohbet kayıtlarını, ödeme akışlarını, mağdur kayıtlarını ve IOC’leri içerir; bu da, kaldırmalardan çok sonra bile sorumluların tespit edilmesini ve adli kovuşturmayı destekler.
  • Dolandırıcılar izlerini silmeye çalışırken, biz onları kalıcı hale getiriyoruz.

Kayıt Kuruluşları Arasındaki Müttefikler ve Rakipler

Sitenin kaldırma hızı tamamen kayıt kuruluşu ve barındırma sağlayıcısının yanıt hızına bağlıdır. Ortaklarımızın verileri, bu konuda belirgin bir fark olduğunu göstermektedir:

Cezaî Misilleme — Etkinin Doğrulanması

Etkinliğimiz, organize bir tepkiye yol açtı; biz bunu bir engel olarak değil, etki yarattığımızın kanıtı olarak görüyoruz:

Suçlular izlerini silmeye çalışır; biz ise izlerinin kalıcı kalmasını sağlıyoruz.

Yasal Durum ve Koordinasyon

Biz bir kar amacı gütmeyen işletmeci kolektifi — ne bir şirket, ne de bir tüzel kişilik; hiçbir hükümetle bağlantısı yoktur. Yaptığımız her şey şeffaftır:

  • Tüm raporlar ve kanıtlar GitHub, [REDACTED] ve Mastodon’da açık bir şekilde yayınlanmaktadır — hiçbir şey gizlenmemekte veya özel olarak saklanmamaktadır.
  • Aktörlerin tespit edilmesi, finansal izleme veya altyapı haritalandırmasını içeren büyük çaplı soruşturmalarda, biz tüm delil paketlerini resmi olarak kolluk kuvvetlerine veya CERT ekiplerine devretmek.
  • Bu tür tüm aktarımlar, yasalara tam olarak uygun şekilde ve yalnızca eyleme geçirilebilir istihbaratın doğrulanması durumunda gerçekleştirilir.
  • Biz hiçbir kişisel veriyi saklamayın katkıda bulunanlar — ihbarcıları misillemeden korumak ve veri ihlali riskini ortadan kaldırmak.

Görevimiz, kötü niyetli faaliyetleri belgelemek ve ortadan kaldırmak, ardından bu kanıtlar üzerinde harekete geçme yetkisine sahip kişilere destek sağlamaktır.

Rakamlarla

  • 500,000+ 2019'dan bu yana devre dışı bırakılan kimlik avı ve dolandırıcılık alan adları.
  • 130,000+ seçilmiş aktif tehditler yok etme listesi.
  • 50+ Antivirüs yazılımı üreticileri ve tehdit istihbaratı platformları, bizim veri akışlarımızı almaktadır.
  • 30,000+ Yalnızca IANA #1068 ortaklığı aracılığıyla kaldırılan alan adları.
  • <%0,5 genel olarak yanlış pozitif oranı 100,000+ doğrulanmış raporlar.
  • 140,000+ X hesabımızın askıya alınmasından sonra arşivlenen raporlar.
  • 888 bin+ farklı akışlardaki topluluk aboneleri.

Nasıl Yardımcı Olabilirsiniz?

"Toplu eylem en güçlü savunmadır. Yürüdüğümüz yol, teknoloji, uzmanlık ve topluluğun siber suçlara karşı birleştiğinde neler başarılabileceğini ortaya koyuyor."

#CyberDefense#Takedown#Possibly phishing#Community

Bu Makaleyi Paylaş

İlgili Soruşturmalar

SORUŞTURMA
$0 Takedowns: How We Disrupt Possibly phishing Infrastructure
ÖLÇÜTLER
Etki Göstergeleri: 500 bin'den fazla kimlik avı tehdidi etkisiz hale getirildi
SORUŞTURMA
IANA #1479, IANA #460, IANA #3765: Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings