Sahte Betkanyon sitelerini tespit etme: URL ve sertifika kontrolü

İnternette bir siteye girerken "betkanyon güvenilir mi" gibi sorular aklınıza geliyorsa, en pratik ilk adım adres (URL) ve SSL/TLS sertifikası kontrolleridir. Bu makalede teknik olmayan kullanıcılara yönelik, tarayıcı temelli ve kısa süre içinde uygulanabilecek adımlar sunuyorum. Amacımız bir sitenin anlık güven sinyallerini yorumlamayı öğretmektir; kapsamlı yasal veya finansal değerlendirme bu rehberin dışında kalır.

Neden URL ve sertifika kontrolleri öncelikli olmalı?

Adres çubuğundaki küçük farklılıklar veya eksik/uyumsuz sertifikalar, bir sitenin meşruiyeti hakkında hızlı ve somut ipuçları verir. URL ve sertifika kontrolleri, hesabınızı veya ödeme bilgilerinizi girmeden önce uygulayabileceğiniz en hızlı güven kontrolleridir.

Hızlı adım adım kontrol listesi (uygulaması 3–5 dakika)

1. Resmi kaynağı doğrulayın:

   İlk olarak platformun resmi kanallarından (resmi uygulama mağazası sayfası, doğrulanmış sosyal medya profilleri, şirketin bildirdiği iletişim adresleri) doğru site adresini edinin. Resmi hesaplarda genellikle doğrulama rozetleri veya geliştirici bilgilerinde açıklamalar yer alır.

2. Adres çubuğunu satır satır inceleyin:

   Tarayıcınızın adres çubuğunda gördüğünüz alan adını dikkatlice kontrol edin. Beklediğiniz tam alan adıyla bire bir eşleşme olmalı; ekstra kelimeler, kısa reklam uzantıları veya farklı TLD'ler (ör. .com yerine .net) risk işareti olabilir.

3. Kilit simgesine tıklayın ve sertifika bilgilerini açın:

   Adres çubuğundaki kilit simgesine tıklayarak sertifika detaylarını görüntüleyin. Sertifikanın kime verildiğini (Subject/CN veya SAN alanlarında görünen etki alanı), veren kuruluşu ve geçerlilik tarihlerini kontrol edin.

4. Tarayıcı uyarılarını ciddiye alın:

   Tarayıcı; sertifika süresi dolmuş, adı uyuşmayan veya kendinden imzalı bir sertifika tespit ettiğinde uyarı verir. Bu tür uyarılar görürseniz ilerlemeyin ve URL'yi tekrar kontrol edin.

5. WHOIS ve sertifika şeffaflığı kayıtlarına göz atın:

   Alan adı kayıt tarihini, kayıt sahibini ve kayıtçı bilgisini WHOIS sorgularıyla öğrenebilirsiniz. Ayrıca sertifika şeffaflığı kayıtlarını kontrol etmek için crt.sh kullanılabilir.

6. Site içeriğini hızlıca denetleyin:

   İletişim bilgileri, kurum kimliği, yazım/formatlama hataları ve tutarsız logolar gibi öğeler güven değerlendirmesinde yardımcı olur. Çok zayıf veya eksik iletişim bilgisi uyarıcı olabilir.

7. Ödeme adımını dikkatle takip edin:

   Ödeme ekranında adres çubuğunu kontrol edin; ödeme sağlayıcısının adı veya güvenli ödeme gösterge işaretleri varsa bunları doğrulayın. Güvenmediğiniz bir adrese banka/kimlik bilgisi girmeyin.

URL analizinde dikkat edilmesi gereken teknik noktalar

• Alan adı (domain) vs alt alan adı (subdomain): bir sitenin adı "betkanyon.example.com" gibi yapıda ise esas domain "example.com"'dur; bu durum isim hakkı açısından yanıltıcı olabilir.
• Benzer yazımlar ve ekstra karakterler: harf eklenmesi, tire (-) veya rakam kullanımı, farklı TLD'ler sık görülen taktiklerdir. Beklediğiniz adresle birebir karşılaştırın.
• Punycode ve benzer karakterler: farklı alfabelerden (ör. Kiril) alınan görünüşte aynı harfler URL'de yer alabilir. Tarayıcı adres çubuğunda punycode (xn--) ile başlayan gösterimler bir uyarı olabilir.

SSL/TLS sertifikası nasıl okunur — pratik kontrol noktaları

Sertifika bilgisi genel olarak üç kritik alan içerir: kime verildiği (subject/SAN), hangi kuruluştan verildiği (issuer) ve geçerli olduğu tarih aralığı (validity). Özet kontrol listesi:

• Subject / SAN: Sertifika üzerinde görünen etki alanı, adres çubuğundaki alan adıyla eşleşmelidir.
• Issuer (Veren kuruluş): Tanınmış bir sertifika otoritesi tarafından verilmiş olması olumlu bir işarettir. Bilinmeyen veya açıkça şüpheli bir issuer dikkat gerektirir.
• Geçerlilik tarihleri: Başlangıç ve bitiş tarihlerini kontrol edin; süresi dolmuş sertifikalar tarayıcı tarafından uyarı üretir.
• Self-signed (kendi imzalı) sertifikalar: Tarayıcı tarafından onaylanmamış, elle eklenmiş sertifikalar şüphe uyandırmalıdır.

Tarayıcı uyarıları: ne anlama gelir ve nasıl tepki vermelisiniz?

Tarayıcılar; sertifika adı uyuşmazlığı, süresi dolma, güvenilmeyen sertifika otoritesi veya karışık içerik (site içinde güvenli olmayan kaynaklar) gibi durumlarda farklı uyarılar gösterir. Bu uyarıları görmezden gelmek yerine adımı geri alıp adresi doğrulamak daha güvenlidir.

WHOIS ve sertifika şeffaflığı (CRT) kullanımı

WHOIS sorguları alan adının ne zaman kaydedildiğini, kayıtçıyı ve bazen iletişim bilgisini gösterir. Yeni kaydedilmiş alan adları ekstra dikkat gerektirebilir, ancak gizlilik koruması bulunan kayıtlar tek başına kötüye işaret etmeyebilir. WHOIS için örnek bir araç: https://whois.icann.org/

Sertifika şeffaflığı kayıtları (ör. crt.sh) ise o alan adına hangi sertifikaların verildiğini gösterir. Beklenmedik veya son dönemde çok sayıda benzer sertifika görünüyorsa dikkat etmek makul olur.

Ek kişisel güvenlik önlemleri

• Yeni bir siteye hesap açarken küçük tutarda ve güvenli bir ödeme yöntemiyle başlayın.
• Mümkünse iki aşamalı doğrulama (2FA) etkinleştirin ve parola yöneticisi kullanın.
• Resmi uygulama mağazası sayfalarını ve doğrulanmış sosyal medya hesaplarını kontrol ederek uygulama bağlantıları alın.
• Hesap bilgilerinizı veya ödeme bilgilerinizi paylaşmadan önce URL ve sertifika kontrollerini yeniden yapın.

Yazdırılabilir kısa kontrol listesi

• Adres çubuğunda tam domain eşleşmesi var mı?
• Kilit simgesine tıklayıp sertifika Subject/SAN alanı domain ile uyumlu mu?
• Sertifika veren kuruluş tanınıyor mu ve sertifika süresi geçerli mi?
• WHOIS kayıtları ve sertifika şeffaflığı kayıtlarında olağan dışı bir durum var mı?
• Site içeriği, iletişim bilgileri ve marka öğeleri tutarlı mı?
• Ödeme sırasında adres çubuğu veya ödeme sağlayıcısı bilgileri değişiyor mu?

Bu adımları takip ederek, bir site hakkında hızlı ve pratik bir ön değerlendirme yapabilirsiniz. Unutmayın ki tek bir gösterge kesin sonuç vermez; birkaç uyarının bir arada olması daha güçlü bir sinyaldir.

Not: Bu makale genel bilgi amaçlıdır ve teknik kontrolleri anlatır. Şüpheli durumlarda bankanızla veya ilgili kurumlarla iletişime geçmeniz ve yasal/finansal tavsiye almanız önerilir.