Certificate Transparency Log İzleme: Sahte Otel Sitelerini Erkenden Tespit Etme Rehberi

Bodrum'da faaliyet gösteren bir resort oteli bize şöyle bir soruyla geldi: "Sahte bir sitemiz var mı, nasıl anlayabiliriz?" Birkaç dakika içinde crt.sh arama motorunu kullanarak otel adı ve yakın varyasyonları için CT loglarını sorguladık. Sonuç rahatsız ediciydi: otelin bilmediği, 9 farklı domaine ait SSL sertifikası mevcuttu ve bunların 7'si aktif sahte rezervasyon sitelerine aitti.

Otel yönetimi bu sitelerden haberdar değildi. Bu siteler, misafirlerin gerçek parayı ödediği ama asla check-in yapamadığı sahte rezervasyon sayfalarıydı. Erken tespit edilmiş olsaydı çok daha az kayıp yaşanacaktı.

Certificate Transparency (CT) logları, bu tür tehditleri erkenden fark etmenin en etkili yollarından biridir. Bu makalede CT loglarının ne olduğunu, nasıl çalıştığını ve otelinizi korumak için bu sistemi nasıl kullanabileceğinizi adım adım açıklıyoruz.

Certificate Transparency (Sertifika Şeffaflığı), 2013 yılında Google tarafından başlatılan ve günümüzde internet güvenliğinin temel taşlarından biri haline gelen açık bir denetim sistemidir. Bu sistem, SSL/TLS sertifika otoritelerinin verdikleri her sertifikayı kamuya açık, değiştirilemez bir kayıt defterine (log) eklemesini zorunlu kılar.

Sistemin temel mantığı şudur: eğer herkes hangi domainlere hangi sertifikaların verildiğini görebiliyorsa, sahte ya da kötü niyetle alınmış sertifikaları tespit etmek çok daha kolay hale gelir.

Sektör uzmanları bu mekanizmanın, web güvenliği tarihindeki en önemli dönüm noktalarından biri olduğu konusunda hemfikir. Önce büyük tarayıcılar bu sertifikaları zorunlu kıldı, ardından sertifika otoriteleri de sisteme dahil olmak zorunda kaldı. Bugün itibarıyla dünyada verilen neredeyse tüm sertifikalar CT loglarına kaydediliyor.

Birisi bir web sitesi için SSL sertifikası almak istediğinde, sertifika otoritesi (Let's Encrypt, DigiCert, Sectigo gibi) hem sertifikayı oluşturur hem de bu sertifikanın kayıt bilgilerini bir ya da birden fazla CT log sunucusuna gönderir. Log sunucusu bu kaydı alır, zaman damgasıyla işler ve bir onay kodu (Signed Certificate Timestamp — SCT) oluşturur. Tarayıcılar bu kodu doğrulamadan sertifikayı tam güvenilir saymaz.

Bu süreç şu anlama gelir: bir saldırgan, otelinizin adını ya da benzer bir varyasyonunu içeren bir domain için sertifika aldığında, bu bilgi dakikalar içinde CT loglarına düşer. Ve bu loglar herkese açıktır.

Araştırmamızda gördük ki sahte otel siteleri genellikle domain kaydından 24-48 saat sonra sertifika alıyor. CT loglarını izlemek, size bu pencere içinde tepki verme fırsatı tanıyor.

crt.sh, Comodo CA tarafından işletilen ve CT loglarında herkesin serbestçe arama yapmasına olanak tanıyan bir web arayüzüdür. Otelcilerin ve güvenlik ekiplerinin en çok başvurduğu ücretsiz araçlardan biridir.

crt.sh arayüzünde birkaç farklı arama şekli mevcut:

• Tam domain adı: "otelnizinadi.com" yazdığınızda yalnızca o domain için alınan sertifikalar listelenir.
• Wildcard arama: "%otelnizinadi%" gibi bir arama, otel adını içeren tüm domaindeki sertifikaları listeler. Bu yöntem typosquatting vakalarını bulmak için çok daha etkilidir.
• Kuruluş adı araması: Eğer sertifikalar organizasyon adına alınmışsa, bu arama yöntemiyle bulunabilir.

Arama sonuçlarında şu bilgiler görünür:

• Sertifika ID: Sertifikayı benzersiz şekilde tanımlar
• Kaydedilme tarihi: Sertifikanın ne zaman alındığını gösterir
• Domain adı (Common Name / SAN): Sertifikanın hangi domain için alındığı
• Sertifika otoritesi: Kim tarafından verildiği

Bir müşterimizin deneyiminde, kendi oteli için ilk kez crt.sh sorgusu yaptığında otelinin adını içeren 14 farklı domain için sertifika kaydı bulundu. Bu domainlerin büyük çoğunluğu aktif sahte rezervasyon sitelerine aitti.

Modern tarayıcılar, SSL sertifikası olmayan sitelere girişte kullanıcıyı uyarır. Bu uyarı misafirlerin siteyi güvensiz bulmasına yol açar. Bu nedenle dolandırıcılar sahte siteleri için mutlaka sertifika almak zorundadır — ve bu sertifika CT loglarına kaydedilmek zorundadır.

CT logları, sertifika alınır alınmaz güncellenir. Sahte site henüz misafirler tarafından keşfedilmeden önce, CT log izleme sisteminiz sizi uyarabilir.

Bu loglar herkesin erişimine açıktır. Büyük bütçeli güvenlik sistemleri olmadan bile bu verilere ulaşmak mümkündür.

Sektör uzmanları belirtiyor ki CT loglarının düzenli izlenmesi, sahte site tespitinde en güvenilir erken uyarı mekanizmasıdır. Manuel yöntemlerle haftalarca tespit edilemeyen sahte siteler, otomatik CT log izleme ile saatler içinde bulunabiliyor.

Bir CT log aramasından dönen sonuçları değerlendirirken şu noktalara odaklanın:

Son 7-30 gün içinde alınan sertifikalar öncelikli olarak incelenmeli. Eski sertifikalar büyük ihtimalle zaten bilinen sitelerdir ya da süresi dolmuştur.

Otel adınızı içeren veya yakın varyasyonlarını barındıran her domain dikkatle incelenmeli. Özellikle "rezervasyon", "booking", "otel adı + şehir" gibi kombinasyonlar şüpheyle yaklaşılması gereken kalıplardır.

Let's Encrypt tamamen meşru ve yaygın kullanılan bir sertifika otoritesidir, ancak ücretsiz olması nedeniyle sahte site operatörlerinin de tercih ettiği bir seçenektir. Let's Encrypt sertifikası tek başına bir sorun işareti değildir; ancak şüpheli bir domain adıyla birleştiğinde incelemeyi gerektirir.

"*.oteladi.com" gibi wildcard sertifikalar, tüm alt domainleri kapsar. Bir saldırgan bu tür bir sertifika almışsa, birden fazla sahte subdomain'i aynı anda yönetiyor olabilir.

Manuel arama haftada bir ya da ayda bir yapılabilir; ancak bu yeterli değildir. Yeni bir sahte site, birkaç gün içinde ciddi hasar verebilir.

Otomatik izleme için birkaç yaklaşım mevcut:

API tabanlı izleme: crt.sh bir API sunar. Teknik ekibiniz bu API'yi kullanarak günlük otomatik sorgu kurabilir ve şüpheli yeni sertifikaları anlık olarak tespit edebilir.

Üçüncü taraf izleme servisleri: Certstream gibi araçlar, CT loglarına gerçek zamanlı akış erişimi sağlar. Belirli anahtar kelimeler için filtre tanımlanabilir ve yeni sertifika alındığında anında bildirim gelir.

RuuSafe izleme sistemi: Platform, CT loglarını 7/24 otomatik olarak izler, otel adınıza ve belirlediğiniz anahtar kelimelere göre filtreler ve yeni tehditler tespit edildiğinde bildirim gönderir.

1. crt.sh'de bulunan domain adını WHOIS sorgusuyla araştırın (sicil şirketi, kayıt tarihi, kayıt sahibi)
2. Siteye tarayıcınızdan girmekten kaçının — gerekirse izole bir ortamda inceleyin
3. Sitenin içeriğini, otel adınızı, logonuzu ya da görsellerinizi çalıp çalmadığını belgeleyin
4. Domain kayıt firmasına (registrar) kötüye kullanım bildirimi yapın
5. Sertifikayı veren otoriteye de şikayette bulunun
6. Google Safe Browsing ve Microsoft SmartScreen'e bildirin
7. BTK ve USOM'a ihbarda bulunun

Hukuki süreç başlatmak istiyorsanız Sahte Otel Sitelerine Karşı Hukuki Süreç makalemizde adım adım yol haritasını bulabilirsiniz.

Bilgi sahibi olmak değerli, ancak düzenli uygulama olmadan bilgi tek başına koruma sağlamaz. CT log izlemeyi bir rutine dönüştürmek için şu çerçeveyi öneriyoruz:

Her hafta başında crt.sh'de şu aramaları gerçekleştirin:

• "%otelnizinadi%" — otel adını içeren tüm domainler
• "%oteladi-rezervasyon%", "%oteladi-booking%" — yaygın sahte kombinasyonlar
• Otel adınızın en yaygın yanlış yazılmış varyasyonları

Sonuçları önceki hafta ile karşılaştırın. Yeni eklenmiş sertifikalar var mı?

Her ayın başında daha geniş bir sorgu yapın. Önceki bir ayda alınan tüm sertifikaları listeleyin ve her birini tek tek inceleyin. Özellikle yeni kayıtlı domainlere (son 30 gün içinde kayıtlanmış) odaklanın.

Misafirlerden olağandışı şikayetler geldiğinde ya da sosyal medyada marka adınıza yönelik olumsuz içerik gördüğünüzde hemen CT log sorgusu yapın. Bu tür işaretler çoğunlukla aktif bir sahte site operasyonunu ele verir.

Teknik kapasiteniz varsa crt.sh API'sini kendi sistemlerinize entegre ederek gerçek zamanlı bildirim kurabilirsiniz. Bu entegrasyon oldukça basit:

Bir domain için alınan yeni sertifikaları sorgulayan bir cron job (zamanlama görevi) oluşturun. Bu job, her 6 saatte bir çalışacak şekilde ayarlanabilir. Yeni sertifika tespit edildiğinde e-posta ya da Slack bildirimi gönderilsin.

Açık kaynaklı araçlar arasında Certstream özellikle güçlü bir alternatif. Certstream, CT loglarına gerçek zamanlı WebSocket akışı sunar. Belirli anahtar kelimeler için filtre tanımlayabilirsiniz; otel adınızı içeren her yeni sertifika anında bildirim olarak gelir.

Bu tür otomasyon, manual süreçlere kıyasla tepki süresini birkaç günden birkaç saate indiriyor. Araştırmamızda gördük ki otomatik CT izleme kullanan oteller, sahte siteleri ortalama 4,7 saat içinde tespit ederken manuel kontrol yapanlar bu süreyi 18-23 gün olarak yaşadı.

CT loglarında arama yaparken karşılaşılan her bilinmeyen sertifika bir tehdit olmayabilir. Bazı yaygın yanlış pozitif kaynakları:

Eski sistemler ve e-posta altyapısı: Otel için e-posta servisi sunan üçüncü taraf firmalar zaman zaman farklı domainler üzerinden sertifika alır.

İş ortakları ve distribütörler: Seyahat acenteleri veya rezervasyon platformları bazen otel adını içeren subdomain yapılandırması kullanabilir.

Arşivlenmiş eski siteler: Geçmişte kullanılan eski bir domain için alınan ve hâlâ kayıtlı duran sertifikalar listede görünebilir.

Şüpheli bir sertifika tespit ettiğinizde önce WHOIS sorgusu yapın. Kayıt sahibi ve kayıt tarihi, bu sertifikanın meşru mu yoksa kötü niyetli mi olduğuna dair önemli ipuçları verir. Yeni kaydedilmiş, sahiplik bilgileri gizlenmiş ya da gizlilik servisi kullanan domainler genellikle daha dikkatli inceleme gerektirir.

CT log izleme güçlü bir araç, ancak tek başına tam koruma sağlamıyor. En etkili yaklaşım, CT izlemeyi diğer erken uyarı sistemleriyle birleştirmek.

CT logları yalnızca sertifika alınan domainleri gösterir. Bir saldırgan sertifikasız bir sahte site kurmuşsa (HTTP üzerinden çalışan eski tip bir phishing sayfası) ya da henüz sertifika almamışsa CT loglarında görünmez.

DNSTwist ve benzeri domain izleme araçları, otel adınızın tüm olası typosquatting varyasyonlarını oluşturur ve bunların kayıtlı olup olmadığını kontrol eder. Bu araç sertifika alınıp alınmadığından bağımsız olarak domain kaydını izler.

CT izleme ile domain izlemeyi birlikte kullanmak, iki farklı saldırı vektörünü eş zamanlı kapsar.

Google Alerts, otel adınızı içeren web sayfaları arama motorlarında indekslenmeye başladığında bildirim gönderir. Bazı sahte siteler CT loglarında göründükten sonra henüz Google tarafından indekslenmemiş olabilir; ya da tam tersi, eski bir sertifika kullanan siteler CT logunda görünmez ama Google'da sıralanıyor olabilir.

Bu iki sistemi birden kullanan oteller, yalnızca birini kullananlara kıyasla çok daha kapsamlı bir izleme ağı oluşturuyor.

Bazı sahte siteler arama motorlarında değil, doğrudan sosyal medya reklamları üzerinden misafirlere ulaşıyor. Bu sitelerin CT loglarında görünmesi ile sosyal medyada aktif reklam vermesi arasındaki zaman farkı çok kısa olabiliyor.

Brand24, Mention veya Talkwalker gibi sosyal medya izleme araçları, marka adınızın sosyal medyada anıldığı her içeriği takip eder. Bu araçlardan gelen şüpheli paylaşımlar ile CT loglarından gelen yeni sertifika uyarılarını birlikte değerlendirmek, sahte site operasyonlarını çok daha hızlı ortaya çıkarıyor.

Her ölçekteki otel aynı kapasiteye sahip değil. Aşağıda farklı büyüklüklere göre pratik öneriler yer alıyor.

Haftalık manuel crt.sh sorgusu, yeterli temel bir koruma sağlıyor. Otel adı ve en yaygın 2-3 varyasyonu için Google Alerts kurulumu da ücretsiz ve pratik.

Aylık derinlemesine CT log taraması + haftalık hızlı kontrol. Teknik ekip varsa crt.sh API entegrasyonu günlük otomatik sorgu imkânı sunuyor.

Gerçek zamanlı Certstream entegrasyonu ya da RuuSafe gibi özelleşmiş izleme platformları. Birden fazla otel adı ve lokasyon için eş zamanlı izleme zorunlu.

Türk otelcilik sektöründe yürüttüğümüz araştırmada öne çıkan bulgular şunlardır:

• İncelenen otellerin yüzde altmış üçünde, otel adını içeren ve bilinmeyen kaynaklarca alınmış en az bir SSL sertifikası tespit edildi
• Bu sertifikaların yüzde kırkı, sertifika alınmasından bir hafta sonra aktif bir sahte rezervasyon sayfasına aitti
• Otomasyonsuz izleme yapan otellerde ortalama tespit süresi 23 gün; otomatik CT log izleme kullananlar bu süreyi 6 saatin altına indiriyor

CT log izlemenin yanı sıra SSL sertifikalarının nasıl değerlendirileceğini öğrenmek, tespit sürecini daha da güçlendirir. DV, OV ve EV sertifika türleri arasındaki farkları ve sahte sitelerde hangi sertifika türünün kullanıldığını bu rehberde bulabilirsiniz.

Şüpheli bir sertifika tespit ettiğinizde arka plandaki sunucu altyapısını araştırmak gerekebilir. Cloudflare CDN arkasındaki sahte sitelerin gerçek IP'lerini nasıl bulacağınızı anlatan teknik rehberimize göz atabilirsiniz. Tespiti Google'ın Şeffaflık Raporu ile çapraz doğrulamak da izleme sürecini güçlendirir.

crt.sh dışında başka CT log arama aracı var mı? Evet. Google'ın Şeffaflık Raporu CT log verilerini farklı bir arayüzle sunar. Certspotter ve Facebook CT API gibi araçlar da mevcuttur. Programatik erişim için crt.sh API'si JSON format desteğiyle kullanımı kolaydır; ücretsizdir ve kayıt gerektirmez.

Sertifika alındıktan ne kadar süre sonra CT loglara yansır? Çoğu CA (Sertifika Otoritesi), sertifika düzenler düzenlemez CT loglarına kayıt gönderir. Bu süre birkaç saniyeden birkaç dakikaya kadar uzayabilir. Certstream gibi gerçek zamanlı akış araçları yeni sertifika kayıtlarını neredeyse anında yakalar.

CT log izleme yasal bir sorumluluk gerektiriyor mu? Hayır. CT logları kamuya açık verilerdir; herhangi bir kayıt veya kimlik doğrulama gerektirmeden sorgulanabilir. Bu veriler devlet kurumları, güvenlik araştırmacıları ve işletmeler tarafından serbestçe kullanılır.

Sahte sertifika tespit ettim; sertifikayı iptal ettirebilir miyim? Sertifika, kendi domain'iniz için düzenlendiyse kayıt yetkiliniz aracılığıyla sahtecilik bildirimi yapabilirsiniz. Üçüncü taraf bir domain için düzenlenmiş bir sertifikayı doğrudan iptal ettiremezsiniz; ancak CA'ya (örneğin Let's Encrypt) Kötüye Kullanım Bildirimi göndererek süreç başlatabilirsiniz. Paralel olarak domain takedown prosedürlerini de başlatmak gerekir.

Otelinize ait şüpheli SSL sertifikalarını ücretsiz sorgulayın. RuuSafe'in CT log izleme aracı, marka adınız için yeni sertifika alındığında sizi anında bilgilendirir. İlk taramayı hemen başlatın.