Dark Web İzleme Nedir ve Nasıl Çalışır

ENISA Threat Landscape 2025 raporuna göre, infostealer kötü amaçlı yazılım önceki yıla göre %30 büyüdü ve bu da yeraltı pazarlarına ulaşan çalınan kimlik bilgilerinin başlıca kaynaklarından biri haline geldi. Europol IOCTA, dark web pazaryerlerinin ele geçirilen kurumsal erişimlerin ana satış noktası olmaya devam ettiğini doğruluyor. Dark web izleme, organizasyonunuzun verileri istismar edilmeden önce ihlallerde, stealer loglarında, yasadışı pazaryerlerinde ve Telegram kanallarında ne zaman göründüğünü tespit eden istihbarat sürecidir.

Çalınan Veriler Gerçekte Nerede Görünür

"Dark web" terimi geniş anlamda kullanılır, ancak pratikte ele geçirilen veriler yalnızca .onion sitelerinde bulunmaz. Başlıca kaynaklar şunları içerir:

• Dark web pazaryerleri: RDP erişimlerinin, VPN kimlik bilgilerinin ve yönetici panellerinin satıldığı .onion siteleri. Initial Access Brokers (IAB), organizasyonun büyüklüğüne bağlı olarak 500 ila 50.000 dolar arasında kurumsal ağ erişimi satar.
• Telegram kanalları: Son yıllarda Telegram, çalınan verilerin başlıca dağıtım kanalı haline geldi. Binlerce üyeli gruplar, stealer loglarını, sızdırılmış veritabanlarını ve kimlik bilgilerini ücretsiz veya ücretli abonelikler aracılığıyla paylaşır.
• Yeraltı forumları ve paste'ler: Veritabanı parçalarının, açığa çıkmış yapılandırmaların ve düz metin kimlik bilgilerinin yayınlandığı forumlar.
• Stealer log depoları: Infostealer kötü amaçlı yazılım (Redline, Raccoon, Vidar, Lumma) tarafından çıkarılan, yalnızca kimlik bilgilerini değil, tam tarayıcı geçmişlerini, aktif oturum çerezlerini ve kurbanların masaüstündeki dosyaları içeren büyük veri koleksiyonları.

Stealer Logları: Çoğu Organizasyonun Görmezden Geldiği Tehdit

Geleneksel veri ihlalleri e-posta ve parola kombinasyonlarını açığa çıkarır. Ancak stealer logları çok daha ileri gider. Bir infostealer bir makineyi enfekte ettiğinde şunları çıkarır:

• Tüm tarayıcı kimlik bilgileri: Yalnızca hedef siteden değil, kurbanın oturum açma bilgilerini kaydettiği her hizmetten: kurumsal e-posta, VPN, yönetici panelleri, bulut hizmetleri, çevrimiçi bankacılık.
• Aktif oturum çerezleri: Parola veya 2FA'ya ihtiyaç duymadan hesaplara erişim sağlarlar. Bir kurumsal yönetici panelinin oturum çerezi, bir saldırganın doğrudan içeri girmesi için yeterlidir.
• Tarayıcı geçmişi: Genel DNS'te asla görünmeyecek dahili organizasyon URL'lerini açığa çıkarır: intranetler, Jira sunucuları, Confluence örnekleri, Jenkins panelleri, dahili API uç noktaları.
• Masaüstü dosyaları: Birçok stealer'da bulunan FileGrabber modülü, kurbanın masaüstünden belgeleri, yapılandırmaları, .env dosyalarını ve notları yakalar.

Bu, tek bir enfekte çalışanın bir organizasyonun tüm dahili altyapısını açığa çıkarabileceği anlamına gelir. Bu nedenle dark web izleme, yalnızca parola ihlali aramalarını değil, stealer log analizini de içermelidir.

Dark Web İzleme Pratikte Nasıl Çalışır

Etkili bir izleme platformu, ele geçirilen verilerin göründüğü tüm kaynakları kapsamak için birden fazla teknolojiyi birleştirir:

1. Sürekli ihlal dizinleme: Yeni bir ihlal yayınlandığında, içerik işlenir, yinelenenler kaldırılır ve anında arama için dizinlenir. Intelligence Security, tarihi ve son ihlallerden 500 milyardan fazla kayıt içeren bir dizin tutar.
2. Stealer log toplama: Infostealer logları Telegram kanallarından, forumlardan ve pazaryerlerinden toplanır, ayrıştırılır ve dizinlenir, alan adı, e-posta veya belirli URL ile arama yapılmasını sağlar.
3. Oturum çerezi izleme: Stealer'lar tarafından çıkarılan çerezler ayrı olarak dizinlenir, organizasyonların acil iptal gerektiren ele geçirilen aktif oturumları tespit etmesine olanak tanır.
4. Alan adı keşfi: İhlal verileri, istihbarat kaynakları arasında açığa çıkan alt alan adlarını, kurumsal e-postaları ve URL'leri belirlemek için alan adı altyapısıyla çapraz referanslanır.

Açığa Çıkmış Veri Bulduğunuzda Ne Yapmalı

Organizasyonunuzun verilerinin dark web'de göründüğünü tespit etmek yalnızca ilk adımdır. Yararlı izlemeyi süs izlemeden ayıran şey yanıt sürecidir:

• İhlallerdeki kimlik bilgileri: Etkilenen kullanıcılar için anında parola sıfırlamayı zorunlu kılın. Aynı kimlik bilgilerinin diğer dahili hizmetlerde yeniden kullanılıp kullanılmadığını doğrulayın.
• Aktif oturum çerezleri: Etkilenen kullanıcının tüm oturumlarını derhal iptal edin. Önceki yetkisiz kullanımı tespit etmek için erişim kayıtlarını inceleyin.
• Tarayıcı geçmişi içeren stealer logları: Geçmişte hangi dahili sistemlerin açığa çıktığını belirleyin. Bu sistemlere erişimi denetleyin. Enfekte makine hâlâ ele geçirilmiş olabilir.
• Satışta kurumsal erişim: Olay müdahale protokolünüzü etkinleştirin. Tüm ele geçirilen hizmetler için kimlik bilgilerini değiştirin. Saldırgan kalıcılığı için altyapıyı inceleyin.

Uygulama: Nasıl Başlamalı

• Kritik varlıklarınızı tanımlayın: Kurumsal alan adları, üst düzey yönetici ve kilit personel e-postaları, ticari markalar, altyapı IP'leri.
• Proaktif olarak arayın: Uyarıları beklemeyin. İhlalleri, stealer loglarını, çerezleri ve dark web kaynaklarını kapsayan bir platformda alan adlarınızda periyodik aramalar yapın. Intelligence Security, tüm bu veri türlerini tek bir arayüzden aramanıza olanak tanır.
• Önem derecesine göre önceliklendirin: Tüm açığa çıkmalar eşit derecede acil değildir. Bir yöneticinin aktif oturum çerezi kritiktir; sona ermiş bir hizmetin parolası bilgilendiricidir.
• Olay müdahalesine entegre edin: İzleme bulguları, kimsenin okumadığı bir raporda kalmak yerine doğrudan müdahale sürecinizi beslemeli.

Sonuç

Dark web izleme, e-postanızın bir ihlalde görünüp görünmediğini kontrol etmekten çok daha fazlasıdır. Veri ihlallerini, stealer loglarını, oturum çerezlerini ve organizasyonunuzun açığa çıkan altyapısını kapsamak zorunda olan bir istihbarat sürecidir. 500 milyardan fazla dizinlenmiş kayıtla Intelligence Security, tek bir platformda ihlal istihbaratı, stealer logları, oturum çerezleri ve alan adı keşfine erişim sağlar; tehditleri zarar vermeden önce tespit etmenize ve harekete geçmenize olanak tanır.