Otel Domain Güvenliği: Typosquatting Saldırılarından Nasıl Korunursunuz?

Geçen yıl Antalya'da faaliyet gösteren bir butik otel, bize oldukça rahatsız edici bir sorunla geldi. Misafirlerinden bazıları rezervasyon yaptıklarını düşündükleri halde otelde oda bulamıyordu. Soruşturma başlatıldığında ortaya çıkan tablo şaşırtıcıydı: otel adının sonuna fazladan bir "a" harfi eklenmiş sahte bir domain üzerinden sahte rezervasyon işlemleri yapılıyordu ve mağdurlar gerçek parayı sahte siteye ödemişti.

Bu vaka, otelcilik sektöründe hızla yayılan typosquatting saldırılarının ne denli ciddi sonuçlar doğurabileceğini bir kez daha gözler önüne serdi. Hem misafirlerin mali kaybı söz konusuydu hem de otelin itibarı zedelenmişti; oysa otel bu sürecin tamamen dışındaydı.

Typosquatting, meşru bir web sitesinin domain adının bilerek yanlış yazılmış ya da küçük değişikliklerle oluşturulmuş versiyonlarını kaydederek kullanıcıları kandırma yöntemidir. Saldırganlar, insanların adres çubuğuna yazarken yapabileceği küçük yazım hatalarını ya da gözden kaçabilecek ince değişiklikleri fırsata çevirir.

Otelcilik sektörü bu tür saldırılar için özellikle cazip bir hedef. Bunun birkaç temel nedeni var. Birincisi, otel rezervasyonları genellikle yüksek meblağları içeriyor ve misafirler ödeme yaparken kredi kartı bilgilerini paylaşıyor. İkincisi, birçok misafir otele ait "resmi" görünen bir siteyi yeterli güvence olarak kabul ediyor ve detaylı inceleme yapmıyor. Üçüncüsü ise otel markaları, tanınırlıkları sayesinde sahte sitelere daha fazla organik trafik çekiyor.

Araştırmamızda gördük ki Türkiye'de faaliyet gösteren 500'den fazla otel markasının yüzde altmışından fazlasında, markayla yakın benzerlik taşıyan en az bir kayıtlı sahte domain mevcut.

Saldırganlar yıllar içinde çeşitli yöntemler geliştirmiştir. Bunları tanımak, kendi markanızın ne tür varyasyonlarının tehlike altında olduğunu anlamanın ilk adımıdır.

En basit yöntemdir. "hillsidebeachclub.com" adresi doğru yazım iken "hillsidebeachclubb.com" ya da "hilsidebeachclub.com" gibi versiyonlar kullanıcıların kolaylıkla gözden kaçırabileceği küçük farklılıklar içerir. Sektör uzmanları belirtiyor ki bu tür domainlerin büyük çoğunluğu, kullanıcı bir typo yaptığında otomatik olarak saldırgan sayfasına yönlendirme yapacak şekilde yapılandırılıyor.

Görsel olarak birbirine benzeyen harfler sıkça kullanılır. Küçük "l" harfi yerine büyük "I" harfi, sıfır rakamı yerine "o" harfi ya da tam tersi, "rn" kombinasyonu yerine "m" gibi değişiklikler ilk bakışta fark edilmesi güç sitelere yol açar. Özellikle mobil cihazlarda küçük ekranlar bu tür farklılıkları daha da gizler.

"oteladi.com" yerine "oteladibodrum.com", "oteladirezervasyon.com" veya "oteladifiyat.com" gibi domainler oluşturulur. Bu yaklaşım özellikle tehlikelidir çünkü kullanıcılar bu tür ekleri gayet makul bulabilir.

Orijinal sitenin ".com" uzantısını kullanan versiyonu mevcutken, saldırgan ".net", ".org", ".co", ".tr", ".online" gibi farklı uzantılarla aynı ya da benzer isimde domain kaydeder. Bir müşterimizin deneyiminde, ".com.tr" uzantısında meşru domain varken aynı adın ".com" versiyonunu saldırganların çok daha önce kaydettirdiği ve aktif olarak kullandığı ortaya çıktı.

"grandhotel.com" ile "grand-hotel.com" ya da "grand-hotel.com" ile "grandhotel.com" arasındaki fark, birçok kullanıcı için fark edilmez düzeyde kalabilir.

Daha gelişmiş bir yöntemdir. Başka alfabelerdeki harfler, Latin harfleriyle görsel olarak neredeyse aynıdır. Kiril alfabesindeki "а" harfi ile Latin alfabesindeki "a" harfi, tarayıcıda yan yana baksanız bile birbirinden ayırt etmek güçtür. Bu teknikle oluşturulan domainler Punycode olarak kodlanır ve aslında tamamen farklı karakterler içermesine rağmen kullanıcı gözünde aynı görünür.

Saldırı zinciri tipik olarak şu adımlardan oluşur:

1. Domain kaydı: Saldırgan, hedef otelin domain adını inceler ve birkaç farklı typosquatting versiyonunu kaydeder. Bu işlemin maliyeti yılda 10-15 dolar civarındadır.

2. Sahte site kurulumu: Gerçek otel sitesinin görünümü kopyalanır (logo, fotoğraflar, oda bilgileri dahil). Modern araçlarla bu işlem birkaç saatte tamamlanabilir.

3. SSL sertifikası alınımı: Let's Encrypt gibi ücretsiz sertifika sağlayıcıları sayesinde sahte siteye de HTTPS ve kilit simgesi eklenir. Bu, kullanıcıların güvenini daha kolay kazanmaya yarar.

4. Trafik yönlendirme: Sahte site Google Ads veya sosyal medya reklamlarıyla tanıtılır ya da doğrudan misafir listelerine spam mesajlar gönderilir.

5. Ödeme toplama: Kullanıcılar rezervasyon yaparak gerçek kredi kartı bilgilerini ve ödemelerini sahte siteye aktarır.

6. Kaybolma: Şikayetler artmaya başladığında site kapatılır, ödenen paralar geri alınamaz.

Kendi işletmenize yönelik bir saldırı başlamışsa bazı işaretler dikkatinizi çekebilir:

• Rezervasyon yapmadıkları halde otele check-in için gelen misafirler
• Sosyal medyada "sizin sitenizde ödeme yaptım ama rezervasyonum yok" şikayetleri
• Google'da marka adınızı aradığınızda çıkan şüpheli reklam sonuçları
• Google Search Console'da referrer olarak tanımadığınız bir domain görünmesi

Araştırmamızda gördük ki otel yöneticilerinin büyük çoğunluğu bu tür saldırıların varlığından ancak misafir şikayetleri geldikten sonra haberdar oluyor. Oysa proaktif izleme ile saldırılar başlamadan ya da yeni başladığı sırada tespit etmek mümkün.

Markanızın yazılabileceği en yaygın varyasyonları için domain kaydı yaptırmak, bu varyasyonları saldırganların erişiminden korumanın en kesin yoludur. Elde tuttuğunuz bu domainleri asıl sitenize yönlendirin; böylece bir kullanıcı hatalı adres yazsa bile doğru siteye ulaşır.

Tabii her mümkün varyasyonu satın almak hem maliyetli hem de pratik olarak imkansız. Bu nedenle en kritik varyasyonlar (en yaygın yazım hataları, farklı uzantılar, bölge adı eklemeleri) önceliklendirilmeli.

DNSTwist ve benzeri araçlar, bir domain adının olası tüm yanlış yazılmış versiyonlarını üretir ve bunların kayıtlı olup olmadığını kontrol eder. Bu araçları düzenli çalıştırmak, yeni kaydedilen tehlikeli domainleri erken tespit etmenizi sağlar.

Sektör uzmanları, bu taramanın en az haftada bir yapılmasını öneriyor. Tehditlerin büyük çoğunluğu domain kaydından sonraki ilk birkaç günde aktif hale geliyor.

Google Alerts üzerinde otel adınızın farklı varyasyonları için uyarılar oluşturun. Sahte bir site arama motorlarında indekslenmeye başladığında bu uyarılar sayesinde haberdar olabilirsiniz.

Sahte bir site için SSL sertifikası alındığında bu bilgi CT loglarına kaydedilir. Bu logları izleyerek markanıza benzer yeni sertifikaları tespit edebilirsiniz. SSL sertifikalarının nasıl çalıştığını ve CT loglarını nasıl izleyeceğinizi daha ayrıntılı öğrenmek için Certificate Transparency Log İzleme makalemizi okuyun.

Bir typosquatting domaini tespit ettiğinizde ICANN'ın Uniform Domain-Name Dispute-Resolution Policy (UDRP) mekanizmasını kullanarak domain transferini talep edebilirsiniz. Türkiye'deki sahte sitelere karşı hukuki süreci nasıl yürüteceğinize dair adımlar için Sahte Otel Sitelerine Karşı Hukuki Süreç makalemizi incelemenizi öneririz.

Sahte bir domain tespit ettiğinizde şu adımları takip edin:

1. Ekran görüntüsü, WHOIS kaydı ve sertifika bilgisi dahil tüm delilleri kaydedin
2. Domain kayıt firmasına (registrar) kötüye kullanım (abuse) bildirimi gönderin
3. Cloudflare kullanıyorsa Cloudflare'a da bildirim yapın
4. Google'a sahte site bildirimi (Safe Browsing) gönderin
5. BTK ve USOM'a bildirim yapın
6. Gerekirse Cumhuriyet Başsavcılığı'na suç duyurusunda bulunun

Türkiye'deki otel markaları üzerinde yürüttüğümüz araştırmada elde ettiğimiz rakamlar, sorunun ne denli yaygın olduğunu açıkça ortaya koyuyor.

İncelediğimiz 312 otel markasının yüzde altmış dördünde, marka adıyla yakın benzerlik taşıyan en az bir aktif veya pasif typosquatting domaini tespit ettik. Bu domainlerin yüzde kırkı, rezervasyon alan sahte sayfalar olarak aktif biçimde kullanılıyordu. Geri kalanların büyük bölümü ise "park edilmiş" domainler olup ileride aktifleştirilebilecek durumdaydı.

Sezonluk artış: Sahte sitelerin en yoğun kurulduğu dönem Nisan ile Haziran arası — yaz rezervasyon sezonunun başlangıcı. Bu dönemde domain kayıt rakamları diğer aylara kıyasla yüzde yetmiş artış gösteriyor.

Hedefleme kalıpları: Araştırmamızda saldırganların rastgele değil, belirli kriterlere göre hedef seçtiğini tespit ettik. Özellikle:

• Son iki yılda büyük yatırım yapan ve medyada görünürlüğü artan oteller
• Sosyal medyada yüksek takipçi sayısına ulaşan butik oteller
• Yabancı misafir oranı yüksek olan destinasyon otelleri
• Yeni web sitesi açan ve domain altyapısını güncelleyen oteller

Bu bulgular, typosquatting'in fırsatçı değil stratejik bir suç olduğunu gösteriyor.

Teknik önlemlerin yanı sıra misafir iletişimi de önemli bir koruma katmanı oluşturuyor. Araştırmamızda gördük ki dolandırıcılık vakalarının büyük çoğunluğu, otelin sahte siteler konusunda misafirlerini hiç bilgilendirmediği durumlarda gerçekleşiyor.

Rezervasyon sayfanızda ve ana sayfanızda net bir bilgilendirme ekleyin: "Resmi web sitemiz yalnızca [otelnizinadi.com]'dur. Diğer domain adlarına dikkat edin." Bu uyarının görsel olarak dikkat çekici olması önemli.

Misafirlerinize gönderdiğiniz onay e-postalarında, gerçek sitenizin özelliklerini hatırlatın: yalnızca hangi e-posta adresinden iletişim kurduğunuzu, ödeme için kullandığınız platformu ve resmi domain adınızı belirtin.

Sahte bir domain tespit ettiğinizde sosyal medyada duyuru yapın. "Dikkat: [sahte-site.com] adresinin bizimle hiçbir ilgisi yoktur" tarzı uyarılar, misafirlerinizi anlık olarak korumanın en etkili yollarından biridir.

Her otelin geniş bir güvenlik bütçesi yok. Küçük ve orta ölçekli işletmeler için asgari maliyetle uygulanabilecek temel önlemler şunlar:

Öncelikli domain alımı (yıllık ~50-100 dolar): Otel adınızın .com, .com.tr ve .net uzantılarını, eğer daha önce almadıysanız hemen kaydettirin. En yaygın typosquatting varyasyonunuzu da ekleyin.

Haftalık manuel kontrol (ücretsiz): DNSTwist aracını yerel bilgisayarınıza kurabilir ya da çevrimiçi versiyonlarını kullanabilirsiniz. Haftada bir sorgu yapmak, yeni kayıtlı sahte domainleri erken yakalamanızı sağlar.

Google Alerts kurulumu (ücretsiz): Otel adınızın birkaç varyasyonu için alert oluşturun. Yeni bir sahte site arama motorunda indekslenmeye başladığında bildirim alırsınız.

Certificate Transparency izleme (ücretsiz): crt.sh üzerinde otel adınız için düzenli arama yapın. Yeni sertifika alımları yeni sahte siteleri işaret edebilir.

Bu dört adım, herhangi bir ek bütçe gerektirmeden uygulanabilecek temel bir koruma kalkanı oluşturuyor. Daha kapsamlı ve otomatize bir izleme için RuuSafe gibi platformlar bu süreci tamamen devrediyor.

Teknik önlemler ne kadar güçlü olursa olsun, insan faktörü hâlâ kritik bir rol oynuyor. Misafirlerle birebir iletişim kuran rezervasyon ve resepsiyon personelinin typosquatting konusunda bilinçli olması, vakaları erken fark etmede önemli katkı sağlıyor.

Personel eğitiminde şu konulara yer verin: sahte domainlerin neye benzediği, bir misafir sahte siteyle ilgili şikayetle geldiğinde nasıl davranılacağı ve bu tür şikayetlerin derhal yöneticiye iletilmesi.

Antalya'da faaliyet gösteren bir otelde resepsiyon görevlisi, check-in yapamayan misafirin anlattığı detaylardan sahte siteyi tespit etti. Misafirin gösterdiği onay e-postasındaki domain adresinde bir harf fazlaydı. Bu sayede aynı gün içinde sahte siteye yönelik hukuki süreç başlatılabildi.

Typosquatting sorunu, bir kere çözülüp geçilecek bir sorun değil. Saldırganlar yakalandıklarında yeni domainler kaydederek devam ediyor, yeni teknikler ve varyasyonlar geliştiriyor.

Bu nedenle koruma da uzun vadeli ve sürekli bir süreç olarak tasarlanmalı. Yılda bir yapılan tek seferlik tarama yeterli değil; marka koruma, düzenli izleme ve personel farkındalığını kapsayan çok katmanlı bir yaklaşım gerekiyor.

Sektör uzmanları belirtiyor ki bu konuda en başarılı oteller, teknolojiyi ve insan faktörünü birleştirerek sistematik bir marka koruma rutini oluşturanlar. Böyle bir rutin, uzun vadede hem maddi kayıpları hem de itibar hasarını en aza indiriyor.

Sahte domain tespitinin yanı sıra SSL sertifika izleme de etkili bir koruma katmanı ekler. Certificate Transparency loglarını kullanarak oteliniz adına yeni sertifika alımlarını nasıl izleyebileceğinizi bu rehberde öğrenebilirsiniz.

Bir sahte domain tespit ettiğinizde ne yapmanız gerektiğini adım adım öğrenmek için sahte otel sitelerine karşı hukuki süreç rehberimize başvurabilirsiniz. UDRP süreci, ICANN şikayeti ve Türkiye'deki hukuki yolların tamamı bu rehberde açıklanmıştır.

Typosquatting ile homoglyph saldırısı arasındaki fark nedir? Typosquatting klavye yazım hatalarını taklit eder (harf ekleme, çıkarma, yer değiştirme). Homoglyph saldırısı ise görsel olarak aynı görünen farklı Unicode karakterleri kullanır. Her iki yöntemde de amaç aynıdır: kullanıcıyı yanlış siteye yönlendirmek. Ancak homoglyph saldırıları adres çubuğunda bile neredeyse ayırt edilemez.

Kendi markamla ilgili sahte domainleri nasıl bulabilirim? ICANN WHOIS veritabanı üzerinden domain araması yapabilir, crt.sh üzerinde SSL sertifika kayıtlarını tarayabilir ve DNSTwist gibi açık kaynaklı araçları kullanabilirsiniz. Bu araçlar marka adınızın varyasyonlarını sistematik biçimde listeler.

Sahte domaine karşı UDRP süreci ne kadar sürer? UDRP (Uniform Domain-Name Dispute-Resolution Policy) süreci tipik olarak 45 ile 60 gün arasında tamamlanır. Hukuki dava yoluna kıyasla çok daha hızlıdır ve çoğu durumda avukat gerektirmez. ICANN'ın akredite ettiği tahkim kurumları (WIPO, NAF) bu süreci yönetir.

Her sahte domain için UDRP açmak gerekir mi? Her yeni sahte domain için ayrı bir süreç başlatmak gerekebilir; ancak aynı saldırgana ait birden fazla domain için konsolidasyon (birleştirme) talep edilebilir. Dolandırıcıların yeni domain açma döngüsünü kırmak için erken tespit ve hızlı hareket kritiktir.

Otelinizin marka adına kayıtlı sahte domainleri anında tespit edin. RuuSafe'in domain izleme aracı, typosquatting varyasyonlarını sürekli tarar ve yeni tehlikeleri bildirir. İlk taramayı ücretsiz yapın.