Typosquatting & Homoglyph — Sahte Domain'ler Marka Adını Nasıl Taklit Eder?
Marka adlarını taklit eden sahte domain’ler; modern phishing operasyonlarının en yaygın altyapısıdır. Bu rehber, typosquatting ve homoglyph saldırılarının teknik altyapısını, tipik pattern’larını ve bağımsız doğrulama yöntemlerini açıklar. Hedefimiz; bahis, casino veya genel bir marka adresine bakarken gözünüzün otomatik olarak şüphe sinyali almasıdır.
Typosquatting Nedir?
Typosquatting, kullanıcıların yazım hatasını fırsata çevirmek üzere; popüler bir markanın adına yakın ama farklı domain’lerin kayıt edilmesi yöntemidir. Klasik örnekler:
- Karakter ekleme:
facebookk.com,goooogle.com - Karakter çıkarma:
facebok.com,oogle.com - Karakter sırası değişimi:
goolge.com,facbeook.com - Klavyede yan tuş:
gooble.com,facebooj.com - Sözcük genişletme:
facebook-login.com,google-secure.com - Tire ekleme:
face-book.com,goog-le.com - TLD değişimi:
facebook.net,google.tk,brand.click
Bahis sektöründe sıkça görülen pattern’lar:
betsi1in.com— küçük “l” yerine rakam “1”bettilt-bonus.top— markanın resmi adresinin bonus alt-alanı taklit1xbeti.live— TLD değişikliği + ekstra karakterrisebett.net— çift “t” + farklı TLD
Homoglyph Saldırıları
Homoglyph saldırı, görsel olarak özdeş ama farklı kodlu karakterler kullanır. Latin alfabesinin “a” harfi ile Kiril alfabesinin “а” harfi (Cyrillic Small Letter A) gözle ayırt edilemez. Domain isimlerinde çok dilli karakter destekleyen IDN (Internationalized Domain Names) standardı bu saldırıyı mümkün kılar.
Tipik Homoglyph Karışımları
| Latin | Görsel benzeri | Karşılık |
|---|---|---|
| a | а (Cyrillic) | U+0430 |
| e | е (Cyrillic) | U+0435 |
| o | ο (Greek) | U+03BF |
| p | р (Cyrillic) | U+0440 |
| c | с (Cyrillic) | U+0441 |
| x | х (Cyrillic) | U+0445 |
| 0 (sıfır) | O (büyük O) | — |
| 1 | l (küçük L) | — |
| I (büyük i) | l (küçük L) | — |
Örnek bir saldırı: bаhsegel.com adresinde “a” Latin değil, Kiril’dir. Adres çubuğunda ayırt edilemez; ancak gerçek bir trafiğin yönlendirildiği farklı bir domain’dir.
Punycode Dönüşümü
DNS sistemi sadece ASCII karakterleri kabul eder; Unicode karakterler Punycode ile kodlanır. Tarayıcılar şüpheli karışımları tespit ettiğinde URL’i Punycode formatında gösterir:
bаhsegel.com (Kiril a ile) → xn--bhsegel-2zg.com
Adres çubuğunda xn— ile başlayan kısım gördüğünüzde ve markanız Latin karakterli ise, bu büyük olasılıkla homoglyph saldırıdır.
IDN Homograph Saldırıları (Tam Domain Taklit)
İleri seviye bir homoglyph saldırı türünde, tüm domain Unicode karakterlerle yazılır:
аррӏе.com— “apple.com” gibi görünür ama Kiril harflerle yazılmıştırебау.com— “ebay.com” görüntüsü, gerçekte tamamen farklı bir kayıt
Tarayıcılar zamanla bu pattern’lara karşı IDN homograph filtresi geliştirdi; ancak markaya özel saldırılarda hâlâ atlatılabilir.
Bitsquatting (Bonus Bilgi)
Bitsquatting daha nadir bir saldırı kategorisidir. RAM’de tek bir bit’in rastgele bozulması (cosmic ray, donanım hatası) sonucu kullanıcının domain çağrısı tek bir bit değişiklikle farklı bir adrese gider. Ölçek olarak büyük servisler (Google, Facebook) için ciddi olabilir; phishing değil, daha çok teknik bir saldırı kategorisidir.
Saldırıyı Tespit Etme Yöntemleri
1. Manuel Karakter Karşılaştırma
URL’i kopyalayın, monospace bir editöre (VS Code, Notepad++) yapıştırın. Her karakteri tek tek inceleyin. Latin a, e, o, p, c, x, y harflerinde kuşku duyduğunuzda karakter kodunu kontrol edin.
2. Punycode Açıkça Gösterilmesi
Modern tarayıcılarda IDN homograph filtresi aktif olduğunda Unicode karakterler Punycode olarak gösterilir. Adres çubuğunda xn— ile başlayan kısım gördüğünüzde dikkat edin.
3. dnstwist Kullanımı
dnstwist açık kaynak bir araçtır; bir domain’i baz alarak yüzlerce typosquat varyantı üretir ve DNS kayıtlarını kontrol eder. Komut satırında:
dnstwist --registered example.comKomut, “example.com”a benzer onlarca varyantı üretir ve hangileri kayıtlı (büyük olasılıkla phishing) olduğunu raporlar. Marka sahipleri bu aracı periyodik tarama için kullanır.
4. urlscan.io ve VirusTotal
URL’i bu servislere yapıştırdığınızda, geçmiş tarama kayıtları, IP, ASN ve diğer domain’lerle bağlantı bilgisi görürsünüz. Tipik phishing altyapıları aynı IP veya hosting’i paylaşır.
5. Whois Kontrolü
Şüpheli domain’in kayıt tarihi 6 aydan yeniyse ve hosting “Cloudflare reverse proxy” arkasında ise, ileri risk sinyalleri ile birleştirilmiş bir altyapı olabilir.
Markaların Korunma Yöntemleri
Marka sahipleri tarafından alınan tipik önlemler:
- Yaygın typosquat varyantların kayıt edilmesi: Marka kendi adının bilinen yanlış yazımlarını proaktif olarak satın alır
- TLD korumaları: Marka adının .com, .net, .org, .info gibi popüler uzantılarını kayıt eder
- dnstwist periyodik tarama: Yeni kayıt edilen typosquat varyantları izleme
- UDRP başvuruları: ICANN Uniform Domain-Name Dispute-Resolution Policy üzerinden sahte domain’lerin transferi için başvuru
- CAA DNS kayıtları: Sertifikanın yalnızca yetkili CA’lardan alınmasına izin veren DNS kuralı
Kullanıcı Olarak Korunma
Bir typosquat veya homoglyph saldırıdan korunmak için:
- URL’i adres çubuğuna manuel yazın — e-posta, SMS veya sosyal medya linklerinden tıklamayın
- Bookmark kullanın — sık ziyaret ettiğiniz siteleri tarayıcı yer iminden açın
- Şüphe duyduğunuzda Punycode kontrolü yapın — adres bar’ında xn— görmek istisna değilse risk
- Otomatik tamamlamaya güvenmeyin — tarayıcı geçmişinden gelen önerilerin doğruluğunu kontrol edin
- Tarayıcı eklentilerinin kullanımı — Bitdefender TrafficLight gibi koruma katmanları
Sonuç
Typosquatting ve homoglyph saldırıları teknik olarak basit ama etkili pattern’lardır. Phishing operasyonlarının başlangıç noktası, kullanıcının URL’i yanlış okumasıdır. Marka adınıza benzeyen domain’lerin kasıtlı tasarlanmış olabileceğini kabul ederek; bağlantıları her zaman bilinçli inceleyin.
Şüpheli bir typosquat domain tespit ettiğinizde, bildirim formumuza ileterek topluluk bilinçlendirmesine katkıda bulunabilir, marka sahibinin haberdar olmasına yardımcı olabilirsiniz. URL kontrol pratik adımları için URL Açmadan Önce Test rehberimizi inceleyebilirsiniz.