Tescilci hesabı ele geçirme
Sızdırılmış parola + 2FA'sız hesap eşittir saatler içinde NS değişikliği. Phishing, credential stuffing ve SIM-swap ile birleşince SMS doğrulaması bile yetmez. En yaygın giriş kapısıdır.
Bir alan adının ele geçirilmesi nadir bir gürültülü saldırı değil — çoğu zaman hatırlanmamış bir yenileme, eksik bir 2FA ya da destek hattındaki bir telefon görüşmesinden geçer. Bu sayfada hesap güvenliğinden EPP kilitlerine, DNSSEC pinlemeden olay müdahale yoluna kadar — alan adınızı operasyonel disiplinle korumak için temel kavramları yan yana topladık.
Alan adının arkasında birden çok katman vardır: tescilci hesabınız, DNS sağlayıcınız, e-posta erişiminiz, ödeme yönteminiz. Saldırgan bu zincirin en zayıf halkasını seçer — çoğu zaman da bu, kod tabanındaki bir açık değil; insan tarafındaki bir alışkanlıktır. Tehdit yüzeyini tanımak ilk savunmadır: nereden geleceğini biliyorsanız nereye kilit takacağınızı da bilirsiniz.
Sızdırılmış parola + 2FA'sız hesap eşittir saatler içinde NS değişikliği. Phishing, credential stuffing ve SIM-swap ile birleşince SMS doğrulaması bile yetmez. En yaygın giriş kapısıdır.
Sahte kimlik belgeleriyle tescilcinin destek ekibini ikna ederek NS / sahiplik değişikliği talep etme. Donanım anahtarı atlanamaz ama bir telefon görüşmesi bazen atlanır — bu yüzden Registry Lock vardır.
Authoritative DNS sağlayıcı hesabı ele geçirildiğinde tescilci hiç farkına varmaz — uygulama trafiği saldırgan IP'sine yönlenir. Terk edilmiş bir CNAME ise üçüncü taraf sağlayıcıda dangling kayıtla subdomain'i devralmaya açar.
Sona eren alan adları Redemption Grace Period sonrası serbest düşer; drop-catching servisleri saniyeler içinde kapar. Eski sahibin uzun mücadeleye girmesi gerekir — çoğu zaman geri alınamaz.
Tescilci hesabınız bağlı olduğunuz [email protected] üzerine reset bildirimi gönderiyorsa, alan adını kaybettiğinizde hesabı da kaybedersiniz. Bu döngü bir bağımsız e-posta ile kırılır.
Auth-code (EPP kodu) ele geçirilirse alan adı başka bir tescilciye taşınabilir. Transfer kilidi (clientTransferProhibited) açıkken kod tek başına yetmez; kilitsiz hesaplarda ise tek savunmadır.
Her tescilli alan adının üzerinde bir veya daha fazla EPP status kodu vardır. Bu kodlar tescil otoritesinin (registry) hangi işlemlere izin verdiğini söyler — transfer, silme ve güncelleme için ayrı ayrı. whois ya da RDAP sorgusu ile herkes görebilir; kapalı olanı kapatmak ücretsizdir ve çoğu hijack denemesini orada durdurur.
İki büyük aile vardır: client-* tescilcinin kendi başına açıp kapatabildiği kilitlerdir; panelinizden anında çekersiniz. server-* tescil otoritesi tarafından konulur — değiştirmek için kimlik doğrulama ve manuel onay süreci gerektirir. Asıl koruma server-* kilitlerindedir.
# tescilcinin uyguladığı kilitler (anlık geri alınabilir)
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
# tescil otoritesinin uyguladığı kilitler (manuel doğrulama gerekir)
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: serverUpdateProhibited https://icann.org/epp#serverUpdateProhibited
Domain Status: serverDeleteProhibited https://icann.org/epp#serverDeleteProhibited
# varsayılan / değişikliklerin serbest olduğu durum
Domain Status: ok ↑ hiçbir kilit yok, transfer açık
client*Prohibited kilitleri. Ücretsiz, anında etkili; çoğu yeni alan adında zaten varsayılan açıktır. Sınırı şurada: tescilci hesabınız ele geçirilirse saldırgan da aynı tıkla kilidi kaldırır.Registry Lock bile, tescilci paneliniz ele geçirildiğinde size yalnızca zaman kazandırır. Asıl koruma hesabın kendisindedir — kullandığınız ikinci faktörün niteliği, kurtarma kanallarının disiplini ve tescilci hesabınızın iş kimliğinden ne kadar ayrı tutulduğu, alan adınızın güvenliğini doğrudan belirler.
SIM-swap saldırısıyla numaranızı devralan bir saldırgan kodu cebine düşürür. Hiç 2FA olmamasından iyidir ama kritik alan adları için tek başına yetersizdir — varsa daha güçlü bir yöntemle değiştirin.
Authenticator uygulamasının ürettiği 6 haneli kod (RFC 6238). Telefon hattından bağımsız çalışır, SMS'in en büyük zaafını ortadan kaldırır. Ancak bir phishing sayfası kullanıcıdan kodu istediğinde, kullanıcı kodu girer ve oturum saldırgana açılır — phishable bir yöntemdir.
FIDO2/WebAuthn standartlı donanım anahtarı (YubiKey, Titan) ya da platform passkey'i. Anahtar yalnızca asıl alan adına imza üretir — phishing sayfasında çalışmaz. Kritik tescilci hesapları için bugünün altın standardıdır.
Tescilci hesabınız [email protected]'a bağlıysa, alan adınızı kaybetmek hesabınızı da kaybetmek demektir. Tescilci için ayrı, sade bir e-posta (örn. başka bir sağlayıcıdaki adres) kullanın ve şifre sıfırlama bildirimlerini oraya yönlendirin. Bu küçük ayrım çoğu döngüsel kilitlenmeyi keser.
Tescilci hesabınız güvende olsa bile, DNS sağlayıcınız ayrı bir saldırı yüzeyidir. NS kayıtlarının sessizce değişmesi, sahte bir CA'nın sertifika basması ya da imzasız bir bölgede yapılan cache zehirlenmesi — hepsi tescilciden bağımsız risklerdir. Üç kontrol bu yüzeyi büyük ölçüde kapatır: DNSSEC ile imza, CAA ile sertifika beyaz listesi ve NS değişikliği için belirgin bir onay prosedürü.
# NS — alan adının yetkili sunucuları
sirketadi.com. 86400 IN NS ns1.dnsprovider.net.
sirketadi.com. 86400 IN NS ns2.dnsprovider.net.
# DS — registry tarafında DNSSEC çapası (pin)
sirketadi.com. 86400 IN DS 12345 13 2 9F86D081...
# DNSKEY — bölgenin kendi imza anahtarı
sirketadi.com. 3600 IN DNSKEY 257 3 13 mdsswUyr3D...
# CAA — yalnızca bu CA'lar sertifika basabilir
sirketadi.com. 3600 IN CAA 0 issue "letsencrypt.org"
sirketadi.com. 3600 IN CAA 0 issuewild "letsencrypt.org"
sirketadi.com. 3600 IN CAA 0 iodef "mailto:[email protected]"
# bayraklar:
ad # authenticated data — resolver DNSSEC zincirini doğruladı
iodef ile ihlaller size raporlanır. ACME hesap bağlama (accounturi) ile koruma daha da daralır. Sertifikaların kendisi ve güven zinciri için TLS, SSL ve Sertifikalar.
Yenileme tarihini kaçırmak yıllarca süren bir markayı saniyeler içinde başkasına devredebilir. Tescil otoritelerinin tanımlı bir yaşam döngüsü vardır; her aşamanın kendi geri dönüş maliyeti ve süresi vardır. Bu süreyi bilmek, otomatik yenilemenin ya da bir ödeme yönteminin neyi karşıladığını da anlatır.
Normal kullanım; tescil bedeli ödenmiş, alan adı çalışıyor. Yenileme her zaman mümkün.
tescil ücretiSüresi dolmuş ama tescilcide hâlâ yenilenebilir. Çoğu sağlayıcı bu pencerede aynı bedelle yenileme sunar. ICANN'e göre 45 güne kadar uzayabilir.
~0–45 günDNS susmuş, site/e-posta çalışmıyor. Geri almak hâlâ mümkün ama "redemption" ücreti (genelde ek 80–200 USD) ister. Operasyonel kesinti başlamıştır.
~30 günGeri alınamaz. Alan adı registry kuyruğunda silinmeyi bekler; bu pencerede yenileme talebi reddedilir.
~5 günTescile yeniden açılır. Drop-catching botları milisaniyeler içinde yakalar; değerli alan adları aftermarket'e düşer ve geri alımı pahalılaşır.
saniyeler.tr ailesinde döngü farklı işler: süresi biten alan adı için 60 günlük yenileme süresi tanınır, sonra silinir; bu süre içinde tescil sahibi e-Devlet üzerinden yenileme yapabilir. Yapısal olarak gTLD'lerdeki "redemption" ek ücreti yoktur ama operasyonel kesinti aynıdır.
gTLD'lerde tek seferde 10 yıla kadar tescil mümkündür. Yenileme sayısı azalır, ele geçirilmiş bir hesabın iptal edebileceği işlem aralığı daralır, fiyat artışlarına karşı sabit kalırsınız. Kritik markalar için varsayılan bu olsun.
Auto-renew açık ama kart süresi dolmuş — en yaygın "kaybedilen alan adı" hikâyesi. Tescilciye en az iki geçerli ödeme yöntemi bağlayın; süresi dolan kartın bildirimini ayrı bir kanaldan da takip edin.
Tescilciden gelen tek hatırlatmaya güvenmeyin; varsa filtreye düşer, hesap kapatılırsa hiç gelmez. Tüm alan adlarınızı (tescilci, son tarih, sahip) ayrı bir tabloda tutun; 90/30/7 gün önce takvim uyarısı kurun.
Bir alan adı ele geçirildiğinde panik kararları kanıtı yok eder, doğru kararlar onu güvene alır. Resmi süreçler (UDRP, TDRP, TRABİS itiraz) günler-haftalar sürer; ancak başvurunuzun gücü, ilk birkaç saatte topladığınız kanıta dayanır. Bu yüzden olay müdahalesi bir "yazılım" değil, önceden yazılmış bir runbook olmalıdır — kim, neyi, hangi kanaldan yapacak.
WHOIS/RDAP çıktısı, DNS sorgu sonuçları (dig +trace), tarayıcı ekran görüntüsü, e-posta başlıkları ve panel oturum geçmişi — hepsini zaman damgalı olarak saklayın. Birkaç saat içinde NS değişebilir ve geçmiş kayıt sağlayıcılar dışında yeniden üretilemez hâle gelir.
Çoğu tescilcinin "abuse" / "compromise" özel kanalı vardır; destek bileti açmak yerine telefonla erişin. Talep edin: hesapta tüm değişiklik akışlarının dondurulması (transfer, NS, sahip bilgisi). ICANN'in sorumluluk politikası gereği tescilci bu talebi belgelemekle yükümlüdür.
Parolayı sıfırlayın, tüm 2FA cihazlarını söküp donanım anahtarı ile yeniden bağlayın, eski API anahtarlarını iptal edin, oturumları zorla kapatın. Sahiplik e-postasını ayrı bir adrese taşıyın; serverUpdateProhibited talebi için tescilciyle açık iletişimde kalın.
Kurumsal e-postanız aynı alanda barınıyorsa yedek alan ya da Microsoft 365/Google Workspace'in yedek MX'i üzerinden kritik iletişimi sürdürün. Müşteri/iş ortağı bildirimini önceden hazırlanmış bir şablonla tek elden yapın — söylenti yönetimi olayın ikinci dalgasıdır.
Tescilci işbirliği yetersizse Registry Operator'a (örn. Verisign — .com/.net) ve ICANN Compliance'a doğrudan başvuru yapın. .tr için TRABİS'in itiraz mekanizmasını işletin; e-Devlet ile sahiplik geçmişinizi ibraz edin. Bu adım, resmi süreçlerin başlangıç tarihini belgeler.
Hukuki danışmanla birlikte uygun mekanizmayı seçin: yetkisiz transfer için TDRP, kötü niyetli tescil için UDRP, .tr için TRABİS uyuşmazlık çözümü. Topladığınız kanıt (zaman damgalı WHOIS, geçmiş arşivi, marka tescil belgeleri) başvurunuzun omurgasıdır.
Kötü niyetli tescil (cybersquatting) için ICANN'in standart süreci. WIPO ve NAF gibi tahkim merkezleri yürütür; üç koşul kanıtlanır — alan adının markaya benzerliği, kötü niyet ve haklı menfaat eksikliği.
Yetkisiz veya hatalı transfer için ICANN sürecidir. UDRP'den farkı: marka değil, transfer geçerliliği sorgulanır. Hijack vakalarının doğal yoludur ve sonuç UDRP'ye göre daha hızlı gelir.
Uyuşmazlık Çözüm Hizmet Sağlayıcısı (UÇHS) mekanizmasıyla .tr ailesindeki ihtilaflar çözülür. Türk hukuku çerçevesinde işlediği için marka tescil belgeleri ve ticaret sicil kayıtları doğrudan delil olarak kullanılır.
Tüm bu süreçler kanıta dayanır. whois.history sağlayıcıları (DomainTools, SecurityTrails) önceki sahiplik ve NS kayıtlarını tutar — bunlar olay başvurusunda kritik delildir. Kayıtları aylık olarak da kendi tarafınızda dondurun.
Registrar Lock, tescilcinin panelinden açılıp kapatılan client*Prohibited kilitleridir; ücretsiz ama hesabınız ele geçirilirse aynı tıkla kalkar. Registry Lock tescil otoritesinin uyguladığı server*Prohibited kilitleridir; kaldırmak için panel dışı manuel onay ister. Asıl koruma ikincisindedir.
WHOIS Privacy sahip bilgilerini kamuya kapatır — kişisel veriyi gizler, ele geçirmeyi zorlaştırmaz. Domain güvenliği ise kilitler, 2FA ve DNSSEC ile sahipliği fiilen korur. Privacy bir gizlilik aracı, güvenlik bir savunma katmanıdır; biri diğerinin yerini tutmaz.
DNSSEC DNS yanıtlarının imzalanmasıdır; "size dönen NS / A kaydı sahte mi?" sorusunu yanıtlar. SSL/TLS ise sunucuyla aranızdaki bağlantıyı şifreler; "karşı uçtaki sunucu doğru sunucu mu?" sorusunu yanıtlar. İkisi farklı katmanları korur; biri diğerini gereksiz kılmaz. TLS sayfasında derinleşin.
Süre uzatma (renew) aynı tescilcide alan adının tescil süresini ileriye taşır; sahipliği değiştirmez. Transfer ise alan adını başka bir tescilciye taşır ve genelde 1 yıl ek tescil de eklenir. Kilitlenmiş bir alanın süresi uzatılabilir ama transfer için kilidin kaldırılması gerekir.
Auth-code (EPP kodu) bir alan adına özgüdür ve yalnızca transferde kullanılır; her transferden sonra döndürülmesi (rotate) gerekir. Hesap şifresi ise panele genel erişim verir. Auth-code sızdığında tek bir alan adı risktedir; hesap şifresi sızdığında portföyün tamamı.
EPP status kodları, kilit hizmetleri, uyuşmazlık çözüm politikaları ve CAA standardı için resmi kaynaklar.
Kilit durumunuzu, hesap güvenliğinizi, DNSSEC ve yenileme takviminizi gözden geçirelim — yıllarca emek verdiğiniz markanın altındaki temeli birlikte sağlamlaştıralım.