Basın Bülteni- Fortinet, 2025 alışveriş sezonuna yönelik siber tehditler hakkında CISO’ların bilmesi gereken bilgileri paylaştı

Aldatıcı alan adları, çalınan hesaplar ve istismar edilen e-ticaret platformlarındaki
keskin artış, yıllardır görülen en aktif alışveriş tehdit ortamlarından birini
şekillendiriyor.

Alışveriş sezonu her yıl, çevrimiçi etkinliklerde öngörülebilir bir artışı beraberinde
getiriyor. Ancak 2025'te, yeni oluşturulan kötü amaçlı altyapıların hacmi,
hesap ele geçirme faaliyetleri ve e-ticaret sistemlerinin hedefli istismarı
belirgin bir şekilde daha yüksek seyrediyor. Saldırganlar, saldırıları birden fazla
platform, coğrafya ve satıcı kategorisi genelinde ölçeklendirmelerine olanak
tanıyan endüstrileşmiş araçlar ve hizmetlerden yararlanarak aylar öncesinden
hazırlıklara başlıyor.

Perakendeciler, finans kurumları ve e-ticaret altyapısı işleten herhangi bir işletme
için tehdit ortamı hiç bu kadar aktif veya tüketici davranışlarına bu kadar
sıkı sıkıya bağlı olmuyor. Bu yıl çevrimiçi alışveriş, dijital ödemeler ve promosyon
etkinliklerindeki artış, tehdit aktörlerinin agresif bir şekilde istismar
ettiği bir ortam yaratıyor.

FortiGuard tehdit araştırması, 2025 alışveriş sezonu tehdit yüzeyini şekillendiren
en önemli kalıpları belirlemek için son üç aydaki verileri analiz etti. Bulgular
net bir eğilimi ortaya koyuyor: Saldırganlar daha hızlı hareket ediyor, daha
fazla otomasyon kullanıyor ve sezonsal artıştan tam anlamıyla yararlanıyor.

Kötü Amaçlı Alışveriş Temalı Altyapıların Hızlı Genişlemesi
Alışveriş öncesi saldırgan faaliyetlerinin en net göstergelerinden biri alan adı
kaydı. FortiGuard, son üç ayda Noel, Kara Cuma ve Flaş İndirim gibi terimleri
içeren 18.000'den fazla alışveriş temalı alan adının kaydedildiğini tespit
ediyor. Bunlardan en az 750'sinin kötü amaçlı olduğu doğrulanıyor. Bu durum,
birçok alan adının hala kötü amaçlı olarak kabul edilmediğini ve potansiyel bir
risk oluşturduğunu gösteriyor.

Büyük perakende markalarını taklit eden alan adlarında paralel bir artış yaşanıyor.
Saldırganlar, e-ticaret temalı 19.000'den fazla alan adı kaydetti ve bunların
2.900'ü kötü amaçlı. Bunların çoğu, kullanıcılar hızlıca alışveriş yaparken
fark etmesi zor olan küçük değişikliklerle bilinen markaları taklit ediyor.

Bu alan adları kimlik avını, sahte vitrinleri, hediye kartı dolandırıcılıklarını
ve ödeme toplama planlarını destekliyor. Ayrıca, yoğun alışveriş etkinlikleri
sırasında arama sonuçlarında kötü amaçlı URL'leri yapay olarak şişiren SEO zehirleme
kampanyalarına da katkıda bulunuyor.

Rekor Hacimdeki Çalıntı Hesap Verileri Kimlik Bilgisi Suistimalini Körüklüyor
Rapor ayrıca, stealer (hırsız) log'larının mevcudiyetinde ve kullanımında çarpıcı
bir artış olduğunu gösteriyor. Son üç ayda, hırsız günlükleri aracılığıyla
elde edilen ve büyük e-ticaret sitelerine bağlı olan 1,57 milyondan fazla oturum
açma hesabı, yeraltı pazarlarında toplanıyor.

Stealer log'lar, tarayıcıda saklanan parolalar, çerezler, oturum belirteçleri, otomatik
doldurma verileri ve sistem parmak izlerini içerir. Alışveriş dönemlerinde
kullanıcılar birden fazla hesaba farklı cihazlardan giriş yaptığından, bu log'lar
özellikle değerli hâle gelir.

Suç pazarları artık bu günlükleri arama filtreleri, itibar puanları ve otomatik
teslimat sistemleri ile dizin haline getiriyor. Bu durum, beceri engelini önemli
ölçüde azaltarak hızlı kimlik bilgisi doldurma (credential stuffing), hesap ele
geçirme ve yetkisiz satın alımları mümkün kılıyor.

Rapor ayrıca, kart dökümleri ve CVV veri setlerinde aktif alışveriş indirimleri
olduğuna dikkat çekiyor. Tehdit aktörleri, çalıntı finansal verileri indirimli
fiyatlarla satmak için Kara Cuma tarzı promosyonlar kullanıyor ve bu da dolandırıcılıkta
bir artışı körüklüyor.

Saldırı Ölçeğini Artıran Endüstrileşmiş Araçlar ve Hizmetler
Bu yılki tehdit faaliyeti, saldırganların kendi araçlarını veya altyapılarını oluşturma
ihtiyacını ortadan kaldıran olgun bir hizmet ekosistemi tarafından desteklenen
yüksek düzeyde bir otomasyonla yönlendiriliyor.

Yapay zekâ destekli kaba kuvvet (brute-force) çerçeveleri, artık büyük hacimli oturum
açma girişimlerini insan benzeri zamanlama ve davranışlarla ele alıyor, bu
da kimlik bilgisi saldırılarını tespit etmeyi daha zor hale getiriyor. WooCommerce,
WordPress, FTP, SMTP ve yaygın yönetici panelleri için özel olarak tasarlanmış
kimlik bilgisi doğrulama araçları, saldırganların çalıntı kullanıcı adlarını
ve şifrelerini tüm site filoları genelinde hızla test etmesine ve onaylamasına
olanak tanıyor. Toplu proxy ve VPN hizmetleri ise değişen IP adresleri ve
coğrafi çeşitlilik sunarak, otomatik faaliyetlerin hız sınırlarını veya coğrafi
sınırlama kontrollerini tetiklemesini önlemeye yardımcı oluyor.

Kimlik avı sayfaları veya kötü amaçlı yazılım dağıtımı için anında kurulum barındırma
(hosting), saldırganlara minimum yapılandırma gerektiren hazır sunucular
sağlayarak temel bir teklif haline geliyor. Yeni web sitesi klonlama hizmetleri,
dolandırıcılık kampanyalarında kullanılmak üzere tam vitrinleri yeniden üretebilirken,
otomatik SIP platformları sahte arayan kimlikleriyle yüksek hacimli sesli
kimlik avı (vishing) girişimlerini destekliyor. SMS spam panelleri, bu yetenekleri
smishing (SMS ile kimlik avı) kampanyalarına genişleterek saldırganların
sahte teslimat bildirimleri veya indirim teklifleriyle alışveriş yapanları hedeflemesine
izin veriyor.

SEO manipülasyon paketleri de kötü amaçlı URL'leri arama sonuçlarında daha üst sıralara
çıkarmak için pazarlanıyor, bu da aceleci alışveriş yapanların bunlara
tıklama olasılığını artırıyor. Buna paralel olarak, özel hizmetler CMS tabanlı
platformlara ödeme hırsızlığı araçları (skimmers) veya arka kapılar (backdoors)
kurarak uzun vadeli veri hırsızlığını mümkün kılıyor. Para kazanma tarafı bile
artık metalaşıyor, çalıntı e-cüzdan bakiyelerinin ve hediye kartı kredilerinin
nakde veya satılabilir varlıklara nasıl dönüştürüleceğine dair ayrıntılı eğitimler
dolaşıyor.

Bunların bileşik etkisi, saldırganların alışveriş yoğunluğuna ölçekli bir şekilde
hazırlanabildiği sıkı bir şekilde entegre olmuş bir pazar yeri yaratıyor. Bu
araçların ve hizmetlerin çoğu, meşru sezonluk promosyonları ne kadar yakından yansıttıklarını
gösterircesine alışveriş sezonu özel fırsatları bile reklam ediyor.

Para Kazanma: Uzlaşmayı Kâra Dönüştürmek
Yeraltı pazarları, e-ticaret uzlaşmasına bağlı listelemelerde net bir artış gösteriyor
ve ölçek, bu operasyonların ne kadar organize hale geldiğini yansıtıyor.
Tehdit aktörleri, ihlal edilen çevrimiçi mağazalardan çekilen tam müşteri veritabanlarını
ve alışveriş yapan ile satıcı ayrıntılarını içeren milyonlarca sızdırılmış
WooCommerce kaydını satıyor.

Ödeme jetonları (tokens) ve müşteri iletişim bilgileri sıkça görülüyor, aynı şekilde
alıcıların şifreleri ve çok faktörlü kimlik doğrulamayı (MFA) tamamen atlamasına
izin veren tarayıcı çerezleri de öyle. Bazı listelemeler, yüksek gelirli
perakende sitelerine yönetici veya FTP erişimi bile sunarak saldırganlara arka
uç (backend) sistemleri üzerinde doğrudan kontrol veriyor. Diğerleri ise nakde
çevirme operasyonları için suç ortakları topluyor, böylece çalıntı bakiyelerin
ve hileli satın alımların hızlı bir şekilde aklanmasını veya paraya çevrilmesini
sağlıyor.

Alışveriş sezonu daha yüksek işlem hacimleri ve daha hızlı satın alma davranışı
getirdiği için, ele geçirilmiş hesaplar bu pazarlarda hızla el değiştiriyor. Aktif
alışveriş geçmişine sahip çalıntı oturumlar özellikle değerli oluyor, çünkü
meşru kullanıcı etkinliğine çok benziyorlar ve gerçek zamanlı olarak tespit edilmeleri
çok daha zor oluyor.

İş Liderleri İçin Bu Ne Anlama Geliyor?
Bulgular net bir kalıp gösteriyor: Saldırganlar daha büyük bir hız, otomasyon ve
ticari organizasyonla faaliyet gösteriyor. Siber aktivitedeki geleneksel alışveriş
artışı artık büyük hırsız günlüğü (stealer-log) ekosistemleri, ticari yapay
zekâ araçları ve e-ticaret altyapısındaki yaygın güvenlik açıklarıyla kesişiyor.

CISO'lar, dolandırıcılık ekipleri ve e-ticaret liderleri için bu, alışveriş
penceresiyle sınırlı geçici bir zorluk olmuyor. Bu durum, 2026'ya kadar devam edecek
olan saldırgan araçları ve para kazanma konusundaki daha geniş eğilimleri yansıtıyor.

Ne Yapabilirsiniz: En İyi Uygulamalar
Erken atılan birkaç pratik adım, dolandırıcılık, hesap ele geçirme veya ödeme sayfası
uzlaşması riskini önemli ölçüde azaltıyor. Aşağıdaki en iyi uygulamalar,
kuruluşların ve tüketicilerin 2025 alışveriş sezonu boyunca en yaygın tehditlerin
önünde kalmak için neler yapabileceğini özetliyor.

Kurumlar için en iyi uygulamalar
- Tüm e-ticaret platformlarını, eklentileri, temaları ve üçüncü taraf entegrasyonlarını
tamamen güncel tutun ve kullanılmayan her şeyi kaldırın.
- Her yerde HTTPS'yi zorunlu kılın ve oturum çerezlerini, yönetim sayfalarını ve
ödeme akışlarını güvence altına alın.
- Yönetim ve yüksek riskli hesaplarda MFA'yı zorunlu tutun ve güçlü şifre politikaları
uygulayın.
- Kimlik bilgisi suistimalini azaltmak için bot yönetimi, hız sınırlama ve anomali
tespit araçları kullanın.
- Markanızı taklit eden aldatıcı veya benzer alan adlarını izleyin ve yayından kaldırma
konusunda hızlı hareket edin.
- Yetkisiz komut dosyası değişikliklerini tarayın ve ödeme sayfası kurcalamalarını
veya hırsızlık araçlarını (skimmers) tespit etmek için kontroller dağıtın.
- Şüpheli yönetim eylemlerini, oturum ele geçirmeyi veya olağandışı veritabanı erişimini
izlemek için günlüğü (logging) merkezileştirin.
- Dolandırıcılık, güvenlik ve müşteri destek ekiplerinizin alışveriş dönemi boyunca
paylaşılan bir siber olay yükseltme (escalation) yolunu izlediğinden emin olun.

Son kullanıcılar için en iyi uygulamalar
- Giriş veya ödeme bilgilerini girmeden önce web sitesi URL'lerini dikkatlice doğrulayın.
- Dolandırıcılık koruması sunan kredi kartlarını veya güvenilir ödeme işlemcilerini
kullanın.
- Alışveriş, e-posta ve bankacılık hesaplarında MFA'yı etkinleştirin.
- Alışveriş yaparken veya finansal hesapları yönetirken halka açık Wi-Fi kullanmaktan
kaçının veya bir VPN kullanın.
- İstenmeyen mesajlara ve gerçekçi olmayan promosyonlara, özellikle teslimat veya
indirimlerle bağlantılı olanlara karşı dikkatli olun.
- Yetkisiz ödemeleri hızla tespit etmek için banka ve kart ekstrelerinizi düzenli
olarak inceleyin.


-iDeal Haber Merkezi-
- twitter.com/iDealDataHaber // www.idealdata.com.tr -