Aldatıcı alan adları, çalınan hesaplar ve istismar edilen e-ticaret platformlarındaki keskin artış, yıllardır görülen en aktif alışveriş tehdit ortamlarından birini şekillendiriyor.
Alışveriş sezonu her yıl, çevrimiçi etkinliklerde öngörülebilir bir artışı beraberinde getiriyor. Ancak 2025’te, yeni oluşturulan kötü amaçlı altyapıların hacmi, hesap ele geçirme faaliyetleri ve e-ticaret sistemlerinin hedefli istismarı belirgin bir şekilde daha yüksek seyrediyor. Saldırganlar, saldırıları birden fazla platform, coğrafya ve satıcı kategorisi genelinde ölçeklendirmelerine olanak tanıyan endüstrileşmiş araçlar ve hizmetlerden yararlanarak aylar öncesinden hazırlıklara başlıyor.
Perakendeciler, finans kurumları ve e-ticaret altyapısı işleten herhangi bir işletme için tehdit ortamı hiç bu kadar aktif veya tüketici davranışlarına bu kadar sıkı sıkıya bağlı olmuyor. Bu yıl çevrimiçi alışveriş, dijital ödemeler ve promosyon etkinliklerindeki artış, tehdit aktörlerinin agresif bir şekilde istismar ettiği bir ortam yaratıyor.
FortiGuard tehdit araştırması, 2025 alışveriş sezonu tehdit yüzeyini şekillendiren en önemli kalıpları belirlemek için son üç aydaki verileri analiz etti. Bulgular net bir eğilimi ortaya koyuyor: Saldırganlar daha hızlı hareket ediyor, daha fazla otomasyon kullanıyor ve sezonsal artıştan tam anlamıyla yararlanıyor.
Kötü Amaçlı Alışveriş Temalı Altyapıların Hızlı Genişlemesi
Alışveriş öncesi saldırgan faaliyetlerinin en net göstergelerinden biri alan adı kaydı. FortiGuard, son üç ayda “Noel”, “Kara Cuma” ve “Flaş İndirim” gibi terimleri içeren 18.000’den fazla alışveriş temalı alan adının kaydedildiğini tespit ediyor. Bunlardan en az 750’sinin kötü amaçlı olduğu doğrulanıyor. Bu durum, birçok alan adının hala kötü amaçlı olarak kabul edilmediğini ve potansiyel bir risk oluşturduğunu gösteriyor.
Büyük perakende markalarını taklit eden alan adlarında paralel bir artış yaşanıyor. Saldırganlar, e-ticaret temalı 19.000’den fazla alan adı kaydetti ve bunların 2.900’ü kötü amaçlı. Bunların çoğu, kullanıcılar hızlıca alışveriş yaparken fark etmesi zor olan küçük değişikliklerle bilinen markaları taklit ediyor.
Bu alan adları kimlik avını, sahte vitrinleri, hediye kartı dolandırıcılıklarını ve ödeme toplama planlarını destekliyor. Ayrıca, yoğun alışveriş etkinlikleri sırasında arama sonuçlarında kötü amaçlı URL’leri yapay olarak şişiren SEO zehirleme kampanyalarına da katkıda bulunuyor.
Rekor Hacimdeki Çalıntı Hesap Verileri Kimlik Bilgisi Suistimalini Körüklüyor
Rapor ayrıca, “stealer” (hırsız) log’larının mevcudiyetinde ve kullanımında çarpıcı bir artış olduğunu gösteriyor. Son üç ayda, hırsız günlükleri aracılığıyla elde edilen ve büyük e-ticaret sitelerine bağlı olan 1,57 milyondan fazla oturum açma hesabı, yeraltı pazarlarında toplanıyor.
Stealer log’lar; tarayıcıda saklanan parolalar, çerezler, oturum belirteçleri, otomatik doldurma verileri ve sistem parmak izlerini içerir. Alışveriş dönemlerinde kullanıcılar birden fazla hesaba farklı cihazlardan giriş yaptığından, bu log’lar özellikle değerli hâle gelir.
Suç pazarları artık bu günlükleri arama filtreleri, itibar puanları ve otomatik teslimat sistemleri ile dizin haline getiriyor. Bu durum, beceri engelini önemli ölçüde azaltarak hızlı kimlik bilgisi doldurma (credential stuffing), hesap ele geçirme ve yetkisiz satın alımları mümkün kılıyor.
Rapor ayrıca, kart dökümleri ve CVV veri setlerinde aktif “alışveriş indirimleri” olduğuna dikkat çekiyor. Tehdit aktörleri, çalıntı finansal verileri indirimli fiyatlarla satmak için Kara Cuma tarzı promosyonlar kullanıyor ve bu da dolandırıcılıkta bir artışı körüklüyor.
Saldırı Ölçeğini Artıran Endüstrileşmiş Araçlar ve Hizmetler
Bu yılki tehdit faaliyeti, saldırganların kendi araçlarını veya altyapılarını oluşturma ihtiyacını ortadan kaldıran olgun bir hizmet ekosistemi tarafından desteklenen yüksek düzeyde bir otomasyonla yönlendiriliyor.
Yapay zekâ destekli kaba kuvvet (brute-force) çerçeveleri, artık büyük hacimli oturum açma girişimlerini insan benzeri zamanlama ve davranışlarla ele alıyor, bu da kimlik bilgisi saldırılarını tespit etmeyi daha zor hale getiriyor. WooCommerce, WordPress, FTP, SMTP ve yaygın yönetici panelleri için özel olarak tasarlanmış kimlik bilgisi doğrulama araçları, saldırganların çalıntı kullanıcı adlarını ve şifrelerini tüm site filoları genelinde hızla test etmesine ve onaylamasına olanak tanıyor. Toplu proxy ve VPN hizmetleri ise değişen IP adresleri ve coğrafi çeşitlilik sunarak, otomatik faaliyetlerin hız sınırlarını veya coğrafi sınırlama kontrollerini tetiklemesini önlemeye yardımcı oluyor.
Kimlik avı sayfaları veya kötü amaçlı yazılım dağıtımı için anında kurulum barındırma (hosting), saldırganlara minimum yapılandırma gerektiren hazır sunucular sağlayarak temel bir teklif haline geliyor. Yeni web sitesi klonlama hizmetleri, dolandırıcılık kampanyalarında kullanılmak üzere tam vitrinleri yeniden üretebilirken, otomatik SIP platformları sahte arayan kimlikleriyle yüksek hacimli sesli kimlik avı (vishing) girişimlerini destekliyor. SMS spam panelleri, bu yetenekleri smishing (SMS ile kimlik avı) kampanyalarına genişleterek saldırganların sahte teslimat bildirimleri veya indirim teklifleriyle alışveriş yapanları hedeflemesine izin veriyor.
SEO manipülasyon paketleri de kötü amaçlı URL’leri arama sonuçlarında daha üst sıralara çıkarmak için pazarlanıyor, bu da aceleci alışveriş yapanların bunlara tıklama olasılığını artırıyor. Buna paralel olarak, özel hizmetler CMS tabanlı platformlara ödeme hırsızlığı araçları (skimmers) veya arka kapılar (backdoors) kurarak uzun vadeli veri hırsızlığını mümkün kılıyor. Para kazanma tarafı bile artık metalaşıyor; çalıntı e-cüzdan bakiyelerinin ve hediye kartı kredilerinin nakde veya satılabilir varlıklara nasıl dönüştürüleceğine dair ayrıntılı eğitimler dolaşıyor.
Bunların bileşik etkisi, saldırganların alışveriş yoğunluğuna ölçekli bir şekilde hazırlanabildiği sıkı bir şekilde entegre olmuş bir pazar yeri yaratıyor. Bu araçların ve hizmetlerin çoğu, meşru sezonluk promosyonları ne kadar yakından yansıttıklarını gösterircesine “alışveriş sezonu özel fırsatları” bile reklam ediyor.
Para Kazanma: Uzlaşmayı Kâra Dönüştürmek
Yeraltı pazarları, e-ticaret uzlaşmasına bağlı listelemelerde net bir artış gösteriyor ve ölçek, bu operasyonların ne kadar organize hale geldiğini yansıtıyor. Tehdit aktörleri, ihlal edilen çevrimiçi mağazalardan çekilen tam müşteri veritabanlarını ve alışveriş yapan ile satıcı ayrıntılarını içeren milyonlarca sızdırılmış WooCommerce kaydını satıyor.
Ödeme jetonları (tokens) ve müşteri iletişim bilgileri sıkça görülüyor, aynı şekilde alıcıların şifreleri ve çok faktörlü kimlik doğrulamayı (MFA) tamamen atlamasına izin veren tarayıcı çerezleri de öyle. Bazı listelemeler, yüksek gelirli perakende sitelerine yönetici veya FTP erişimi bile sunarak saldırganlara arka uç (backend) sistemleri üzerinde doğrudan kontrol veriyor. Diğerleri ise nakde çevirme operasyonları için suç ortakları topluyor, böylece çalıntı bakiyelerin ve hileli satın alımların hızlı bir şekilde aklanmasını veya paraya çevrilmesini sağlıyor.
Alışveriş sezonu daha yüksek işlem hacimleri ve daha hızlı satın alma davranışı getirdiği için, ele geçirilmiş hesaplar bu pazarlarda hızla el değiştiriyor. Aktif alışveriş geçmişine sahip çalıntı oturumlar özellikle değerli oluyor, çünkü meşru kullanıcı etkinliğine çok benziyorlar ve gerçek zamanlı olarak tespit edilmeleri çok daha zor oluyor.
İş Liderleri İçin Bu Ne Anlama Geliyor?
Bulgular net bir kalıp gösteriyor: Saldırganlar daha büyük bir hız, otomasyon ve ticari organizasyonla faaliyet gösteriyor. Siber aktivitedeki geleneksel alışveriş artışı artık büyük hırsız günlüğü (stealer-log) ekosistemleri, ticari yapay zekâ araçları ve e-ticaret altyapısındaki yaygın güvenlik açıklarıyla kesişiyor.
CISO’lar, dolandırıcılık ekipleri ve e-ticaret liderleri için bu, alışveriş penceresiyle sınırlı geçici bir zorluk olmuyor. Bu durum, 2026’ya kadar devam edecek olan saldırgan araçları ve para kazanma konusundaki daha geniş eğilimleri yansıtıyor.
Ne Yapabilirsiniz: En İyi Uygulamalar
Erken atılan birkaç pratik adım, dolandırıcılık, hesap ele geçirme veya ödeme sayfası uzlaşması riskini önemli ölçüde azaltıyor. Aşağıdaki en iyi uygulamalar, kuruluşların ve tüketicilerin 2025 alışveriş sezonu boyunca en yaygın tehditlerin önünde kalmak için neler yapabileceğini özetliyor.
Kurumlar için en iyi uygulamalar
· Tüm e-ticaret platformlarını, eklentileri, temaları ve üçüncü taraf entegrasyonlarını tamamen güncel tutun ve kullanılmayan her şeyi kaldırın.
· Her yerde HTTPS’yi zorunlu kılın ve oturum çerezlerini, yönetim sayfalarını ve ödeme akışlarını güvence altına alın.
· Yönetim ve yüksek riskli hesaplarda MFA’yı zorunlu tutun ve güçlü şifre politikaları uygulayın.
· Kimlik bilgisi suistimalini azaltmak için bot yönetimi, hız sınırlama ve anomali tespit araçları kullanın.
· Markanızı taklit eden aldatıcı veya benzer alan adlarını izleyin ve yayından kaldırma konusunda hızlı hareket edin.
· Yetkisiz komut dosyası değişikliklerini tarayın ve ödeme sayfası kurcalamalarını veya hırsızlık araçlarını (skimmers) tespit etmek için kontroller dağıtın.
· Şüpheli yönetim eylemlerini, oturum ele geçirmeyi veya olağandışı veritabanı erişimini izlemek için günlüğü (logging) merkezileştirin.
· Dolandırıcılık, güvenlik ve müşteri destek ekiplerinizin alışveriş dönemi boyunca paylaşılan bir siber olay yükseltme (escalation) yolunu izlediğinden emin olun.
Son kullanıcılar için en iyi uygulamalar
· Giriş veya ödeme bilgilerini girmeden önce web sitesi URL’lerini dikkatlice doğrulayın.
· Dolandırıcılık koruması sunan kredi kartlarını veya güvenilir ödeme işlemcilerini kullanın.
· Alışveriş, e-posta ve bankacılık hesaplarında MFA’yı etkinleştirin.
· Alışveriş yaparken veya finansal hesapları yönetirken halka açık Wi-Fi kullanmaktan kaçının veya bir VPN kullanın.
· İstenmeyen mesajlara ve gerçekçi olmayan promosyonlara, özellikle teslimat veya indirimlerle bağlantılı olanlara karşı dikkatli olun.
· Yetkisiz ödemeleri hızla tespit etmek için banka ve kart ekstrelerinizi düzenli olarak inceleyin.
