2025 Alışveriş Sezonunu Hedefleyen Siber Tehditler: CISO’ların Bilmesi Gerekenler

TÜHA / TÜRKUAZ İnternational News Agency

Gazeteci* Halit YEŞİLTAŞ

İSTANBUL, 04 ARALIK 2025 – Alışveriş sezonu her yıl, çevrimiçi etkinliklerde öngörülebilir bir artışı beraberinde getiriyor. Ancak 2025’te, yeni oluşturulan kötü amaçlı altyapıların hacmi, hesap ele geçirme faaliyetleri ve e-ticaret sistemlerinin hedefli istismarı belirgin bir şekilde daha yüksek seyrediyor. Saldırganlar, saldırıları birden fazla platform, coğrafya ve satıcı kategorisi genelinde ölçeklendirmelerine olanak tanıyan endüstrileşmiş araçlar ve hizmetlerden yararlanarak aylar öncesinden hazırlıklara başlıyor.

Perakendeciler, finans kurumları ve e-ticaret altyapısı işleten herhangi bir işletme için tehdit ortamı hiç bu kadar aktif veya tüketici davranışlarına bu kadar sıkı sıkıya bağlı olmuyor. Bu yıl çevrimiçi alışveriş, dijital ödemeler ve promosyon etkinliklerindeki artış, tehdit aktörlerinin agresif bir şekilde istismar ettiği bir ortam yaratıyor.

FortiGuard tehdit araştırması, 2025 alışveriş sezonu tehdit yüzeyini şekillendiren en önemli kalıpları belirlemek için son üç aydaki verileri analiz etti. Bulgular net bir eğilimi ortaya koyuyor: Saldırganlar daha hızlı hareket ediyor, daha fazla otomasyon kullanıyor ve sezonsal artıştan tam anlamıyla yararlanıyor.

Kötü Amaçlı Alışveriş Temalı Altyapıların Hızlı Genişlemesi

Alışveriş öncesi saldırgan faaliyetlerinin en net göstergelerinden biri alan adı kaydı. FortiGuard, son üç ayda “Noel”, “Kara Cuma” ve “Flaş İndirim” gibi terimleri içeren 18.000’den fazla alışveriş temalı alan adının kaydedildiğini tespit ediyor. Bunlardan en az 750’sinin kötü amaçlı olduğu doğrulanıyor. Bu durum, birçok alan adının hala kötü amaçlı olarak kabul edilmediğini ve potansiyel bir risk oluşturduğunu gösteriyor.

Büyük perakende markalarını taklit eden alan adlarında paralel bir artış yaşanıyor. Saldırganlar, e-ticaret temalı 19.000’den fazla alan adı kaydetti ve bunların 2.900’ü kötü amaçlı. Bunların çoğu, kullanıcılar hızlıca alışveriş yaparken fark etmesi zor olan küçük değişikliklerle bilinen markaları taklit ediyor.

Bu alan adları kimlik avını, sahte vitrinleri, hediye kartı dolandırıcılıklarını ve ödeme toplama planlarını destekliyor. Ayrıca, yoğun alışveriş etkinlikleri sırasında arama sonuçlarında kötü amaçlı URL’leri yapay olarak şişiren SEO zehirleme kampanyalarına da katkıda bulunuyor.

Rekor Hacimdeki Çalıntı Hesap Verileri Kimlik Bilgisi Suistimalini Körüklüyor

Rapor ayrıca, “stealer” (hırsız) log’larının mevcudiyetinde ve kullanımında çarpıcı bir artış olduğunu gösteriyor. Son üç ayda, hırsız günlükleri aracılığıyla elde edilen ve büyük e-ticaret sitelerine bağlı olan 1,57 milyondan fazla oturum açma hesabı, yeraltı pazarlarında toplanıyor.

Stealer log’lar; tarayıcıda saklanan parolalar, çerezler, oturum belirteçleri, otomatik doldurma verileri ve sistem parmak izlerini içerir. Alışveriş dönemlerinde kullanıcılar birden fazla hesaba farklı cihazlardan giriş yaptığından, bu log’lar özellikle değerli hâle gelir.

Suç pazarları artık bu günlükleri arama filtreleri, itibar puanları ve otomatik teslimat sistemleri ile dizin haline getiriyor. Bu durum, beceri engelini önemli ölçüde azaltarak hızlı kimlik bilgisi doldurma (credential stuffing), hesap ele geçirme ve yetkisiz satın alımları mümkün kılıyor.

Rapor ayrıca, kart dökümleri ve CVV veri setlerinde aktif “alışveriş indirimleri” olduğuna dikkat çekiyor. Tehdit aktörleri, çalıntı finansal verileri indirimli fiyatlarla satmak için Kara Cuma tarzı promosyonlar kullanıyor ve bu da dolandırıcılıkta bir artışı körüklüyor.

Saldırı Ölçeğini Artıran Endüstrileşmiş Araçlar ve Hizmetler

Bu yılki tehdit faaliyeti, saldırganların kendi araçlarını veya altyapılarını oluşturma ihtiyacını ortadan kaldıran olgun bir hizmet ekosistemi tarafından desteklenen yüksek düzeyde bir otomasyonla yönlendiriliyor.

Yapay zekâ destekli kaba kuvvet (brute-force) çerçeveleri, artık büyük hacimli oturum açma girişimlerini insan benzeri zamanlama ve davranışlarla ele alıyor, bu da kimlik bilgisi saldırılarını tespit etmeyi daha zor hale getiriyor. WooCommerce, WordPress, FTP, SMTP ve yaygın yönetici panelleri için özel olarak tasarlanmış kimlik bilgisi doğrulama araçları, saldırganların çalıntı kullanıcı adlarını ve şifrelerini tüm site filoları genelinde hızla test etmesine ve onaylamasına olanak tanıyor. Toplu proxy ve VPN hizmetleri ise değişen IP adresleri ve coğrafi çeşitlilik sunarak, otomatik faaliyetlerin hız sınırlarını veya coğrafi sınırlama kontrollerini tetiklemesini önlemeye yardımcı oluyor.

Kimlik avı sayfaları veya kötü amaçlı yazılım dağıtımı için anında kurulum barındırma (hosting), saldırganlara minimum yapılandırma gerektiren hazır sunucular sağlayarak temel bir teklif haline geliyor. Yeni web sitesi klonlama hizmetleri, dolandırıcılık kampanyalarında kullanılmak üzere tam vitrinleri yeniden üretebilirken, otomatik SIP platformları sahte arayan kimlikleriyle yüksek hacimli sesli kimlik avı (vishing) girişimlerini destekliyor. SMS spam panelleri, bu yetenekleri smishing (SMS ile kimlik avı) kampanyalarına genişleterek saldırganların sahte teslimat bildirimleri veya indirim teklifleriyle alışveriş yapanları hedeflemesine izin veriyor.

SEO manipülasyon paketleri de kötü amaçlı URL’leri arama sonuçlarında daha üst sıralara çıkarmak için pazarlanıyor, bu da aceleci alışveriş yapanların bunlara tıklama olasılığını artırıyor. Buna paralel olarak, özel hizmetler CMS tabanlı platformlara ödeme hırsızlığı araçları (skimmers) veya arka kapılar (backdoors) kurarak uzun vadeli veri hırsızlığını mümkün kılıyor. Para kazanma tarafı bile artık metalaşıyor; çalıntı e-cüzdan bakiyelerinin ve hediye kartı kredilerinin nakde veya satılabilir varlıklara nasıl dönüştürüleceğine dair ayrıntılı eğitimler dolaşıyor.

Bunların bileşik etkisi, saldırganların alışveriş yoğunluğuna ölçekli bir şekilde hazırlanabildiği sıkı bir şekilde entegre olmuş bir pazar yeri yaratıyor. Bu araçların ve hizmetlerin çoğu, meşru sezonluk promosyonları ne kadar yakından yansıttıklarını gösterircesine “alışveriş sezonu özel fırsatları” bile reklam ediyor.