Clonedown
Bize ulaşın Ücretsiz rapor alın
← Tüm gönderiler

12 Haziran 2026

Cloaking: Oltalama Tarayıcılardan Nasıl Saklanır — ve Onu Nasıl Yeniyoruz

Yazan Clonedown Ekibi

Herkesin görebildiği bir oltalama sayfası, hızla raporlanan, engellenen ve kaldırılan bir sayfadır. Saldırganlar bunu bilir. Bu yüzden daha sofistike aktörler artık kötü amaçlı sayfalarını herkese göstermiyor — yalnızca mağdur etmeyi amaçladıkları kişilere gösteriyor ve diğer herkese zararsız bir tuzak sunuyorlar. Bu tekniğe cloaking (gizleme) denir ve bir oltalama URL’sinin olması gerekenden çok daha uzun süre yayında kalmasının başlıca nedenlerinden biridir.

Cloaking aslında nedir

Cloaking, sunucunun isteği kimin veya neyin yaptığına ilişkin inancına göre farklı ziyaretçilere farklı içerik sunma uygulamasıdır. Bir güvenlik tarayıcısına, bir bankanın kötüye kullanım ekibine veya otomatik bir tarama botuna zararsız bir sayfa gösterilir: boş bir şablon, park edilmiş alan adı uyarısı, alakasız bir açılış sayfası ya da genel bir hata. Gerçek mağdura — beklenen cihazdan, beklenen ülkeden, beklenen anda bir oltalama e-postası veya SMS’i üzerinden gelen kişiye — gerçek kimlik bilgisi toplama sayfası gösterilir.

Amaç basittir. Tespitten sorumlu kişiler ve sistemler yalnızca masum bir şey görüyorsa, URL temiz görünür ve kötü amaçlı içerik hayatta kalır.

Yaygın teknikler

Cloaking tek bir hile değil, katmanlı bir filtre setidir. En yaygınları şunlardır:

  • User-agent (kullanıcı aracısı) kontrolleri. Bilinen tarama botu veya başsız (headless) tarayıcı imzalarından gelen istekler ayıklanır ve onlara tuzak sayfa gösterilir.
  • IP ve ASN filtreleme. Güvenlik firmalarına, bulut sağlayıcılarına ve araştırma ağlarına ait adres aralıkları engellenir ve onlara asla canlı sayfa sunulmaz.
  • Coğrafi hedefleme. Oltalama sayfası yalnızca kampanyanın hedeflediği ülkelerden gelen ziyaretçilere gösterilir; diğer herkes zararsız sürümü görür.
  • Referrer (yönlendiren) kontrolleri. Sayfa yalnızca ziyaretçi kampanyanın kendi bağlantısı veya tuzağı üzerinden geldiğinde oluşturulur ve doğrudan giriş yapanlardan gizli kalır.
  • Cihaz parmak izi (fingerprinting). Ekran boyutu, dokunmatik desteği, yazı tipleri ve diğer sinyaller, gerçek bir mobil mağduru otomatik bir ortamdan ayırmak için kullanılır.
  • JavaScript ile geçit (gating). Kötü amaçlı içerik yalnızca istemci tarafı betikleri çalışıp bir kontrolü geçtikten sonra bir araya getirilir; bu da ham HTML okuyan tarayıcıları etkisiz kılar.
  • Tek kullanımlık erişim belirteçleri (token). Her tuzak benzersiz bir belirteç taşır; kullanıldığında veya süresi dolduğunda bağlantı ilgi çekici hiçbir şeye çözümlenmez.
  • Yönlendirme zincirleri. Bazen meşru hizmetler üzerinden geçen bir dizi atlama, nihai hedefi gizler ve naif takipçileri bozar.
  • Zaman tabanlı ve davranışsal filtreler. Sayfa yalnızca belirli saatlerde veya ziyaretçi insana benzer bir etkileşim gösterdikten sonra canlı hale gelebilir.

Naif tarayıcılar neden başarısız olur

Çoğu otomatik tarama, bir URL’yi getirip dönen içeriği inceleyerek çalışır. Cloaking yapmayan bir siteye karşı bu yeterlidir. Cloaking yapan bir siteye karşı ise tam olarak yanlış hamledir: tarayıcı kendini user-agent’ı, veri merkezi IP’si, eksik referrer’ı ve insan davranışı yokluğuyla ele verir ve tam zamanında tuzak sayfaya yönlendirilir. Tarayıcı temiz bir sayfa kaydeder, karar “oltalama değil” olur ve rapor hiçbir zaman düzenlenmez. Cloaking’in tespiti sonsuza dek yenmesi gerekmez — yalnızca tarayıcının yaptığı tek isteği kazanması yeterlidir.

Ciddi bir kaldırma operasyonu onu nasıl yener

Cloaking’i yenmek, bir tarayıcı gibi görünmeyi reddetmek demektir. Clonedown, otomatik ve manuel teknikleri birleştiren gelişmiş cloaking azaltma (mitigation) yöntemleri uygular; böylece sistem kendini gerçek bir mağdurun yapacağı gibi sunabilir: kampanyanın kendi yolundan, makul bir ağ ve konumdan, gerçekçi bir cihazdan gelerek, istemci tarafı geçitlerini çalıştırarak ve yönlendirme zincirini sonuna kadar işleterek. Otomasyonun filtrelendiği yerlerde, 7/24 çalışan bir kesintiye uğratma ekibindeki insan analistler koşulları elle yeniden oluşturarak canlı kötü amaçlı sayfaya ulaşır ve onu doğrular.

Bu doğrulama, sürecin geri kalanını belirleyici kılan şeydir. Kanıt toplama; ekran görüntülerini, sayfa kaynağını, WHOIS, barındırma, DNS ve cloaking davranışının kendisini yakalayarak sağlayıcıların yeniden soruşturmaya gerek kalmadan harekete geçebileceği tek, zaman damgalı bir kanıt paketi üretir. Cloaking’i belgelemek işin özüdür: inceleyenlere, aksi takdirde asla görmeyecekleri kötü amaçlı içeriği gösterir.

Clonedown, tespitten kaldırmaya kadar uçtan uca, varsayılan olarak otomatik biçimde çalışır; medyan yanıt süresi on beş dakikanın altında ve ortalama tehdit yaşam süresi (time-to-live) yaklaşık 2,6 saattir. Doğrulanmış oltalama URL’leri için Google Güven ve Güvenlik raporlama kanalı üzerinden dizinden çıkarma (deindexing), %100 kaldırma oranına ulaşarak bir kampanyayı kârlı tutan aramaya dayalı trafiği keser.

Kedi-fare gerçeği

Cloaking bir silahlanma yarışıdır. Tespit geliştikçe saldırganlar filtre ekler; filtreler çoğaldıkça tespit, bir robottan çok gerçek bir kullanıcı gibi davranmak zorunda kalır. Kalıcı bir zafer yoktur; yalnızca bir adım önde kalma disiplini vardır — her yeni atlatma yöntemini onun ötesini görmenin bir yoluyla karşılamak ve doğrulanan her sayfayı, onu kaldıracak kanıta dönüştürmek.

Clonedown OÜ, Estonya’nın Tallinn şehrinde bulunmaktadır. Cloaking yapan oltalama tespit ve yanıtınızı zayıflatıyorsa, bu her gün üzerinde çalıştığımız türden bir problemdir.