Bir web sitesine giriş yapmadan önce alan adını doğrulamak, hesap güvenliğini korumanın en etkili yollarından biridir. Saldırganlar; benzer yazımlı alan adları, sponsorlu arama sonuçları, kısaltılmış linkler veya gerçeğine çok benzeyen giriş sayfalarıyla kullanıcıları kandırmaya çalışabilir.

Güvenlik ve uyum notu (lütfen okuyun)

Bu rehber yalnızca anti-phishing ve alan adı doğrulama amaçlı genel bilgilendirme sağlar.

• Herhangi bir platform için “güncel/resmi adres” paylaşmaz ve belirli sitelere yönlendirme yapmaz.
• Coğrafi/ISP kısıtlarını aşma, engel atlatma veya benzeri erişim yöntemleri sunmaz.
• Hizmetlerin erişilebilirliği ve kuralları bölgeye göre değişebilir; yerel mevzuata ve yaş/üyelik koşullarına uyun.

Neden alan adı doğrulama gerekir?

Bir bağlantı “doğru gibi” görünse bile, gerçek site yerine bir taklit sayfaya gidebilirsiniz. Amaç çoğu zaman kullanıcı adı/parola, tek kullanımlık doğrulama kodları veya e-posta hesabına erişim elde etmektir.

En sık görülen kırmızı bayraklar

• Benzer yazımlı alan adı: Ek harf, farklı uzantı, tire kullanımı veya yanıltıcı alt alan adları.
• Kısaltılmış URL / yoğun yönlendirme: Gerçek hedef gizlenir; birden fazla ara adresten geçilir.
• Şüpheli izin istekleri: Alakasız bildirim izni, eklenti yükletme, panik yaratan uyarılar.
• Acele ettiren dil: “Hemen giriş yap”, “hesabın kapanacak” gibi baskı.

Mini kontrol listesi (en güvenli 5 adım)

• Yer imi (bookmark) kullanın: Daha önce doğruladığınız sayfayı yer iminden açın.
• Parola yöneticisi sinyalini izleyin: Otomatik doldurma çalışmıyorsa durup alan adını yeniden kontrol edin.
• Reklam/sponsorlu sonuçlara dikkat: Özellikle arama reklamları üzerinden gelen linklerde alan adını iki kez kontrol edin.
• Adres çubuğunu karakter karakter okuyun: Benzer karakter tuzaklarına (l/I, o/0 vb.) dikkat edin.
• “Dur” kuralı: Herhangi bir uyarı, garip yönlendirme veya izin isteğinde bilgi girmeyin.

Adım adım daha sağlam doğrulama

1) “Kanal doğrulaması”: Linkin kaynağını doğrulayın

Bir alan adının güvenilirliğini anlamanın en sağlıklı yolu, bilgiyi doğrulanabilir kanallardan teyit etmektir. Kritik nokta: kullandığınız kanalın da sahte olmaması.

• Uygulama içi / hesap paneli duyuruları: Zaten giriş yaptığınız bir ortamda görünen duyurular daha güvenilir bir başlangıç noktası olabilir.
• Resmi destek/yardım merkezi: Kişisel bilgi paylaşmadan “alan adı doğrulama” sorusu sorabilirsiniz.
• Daha önce kaydettiğiniz resmi iletişim yolları: Eski, doğrulanmış kayıtlarınıza (ör. yer imi, parola yöneticisi kaydı) dönün.

2) HTTPS ve sertifika ayrıntıları: “HTTPS var” tek başına yetmez

HTTPS bağlantının şifreli olduğunu gösterir; ancak sahte siteler de HTTPS kullanabilir. Bu yüzden sertifika ayrıntılarına da bakın (tarayıcıdaki kilit simgesinden).

• Alan adı eşleşmesi: Sertifikadaki Subject Alternative Name (SAN) / “Valid for” alanındaki domainin, adres çubuğundaki alan adıyla tam eşleştiğini kontrol edin.
• Tarayıcı uyarıları: “Bağlantı güvenli değil”, “sertifika bu alan adı için değil” gibi uyarılarda işlemi kesin.
• Doğru yorum: Sertifika eşleşmesi, bağlantının o alan adına ait olduğunu gösterir; markanın/kurumun “gerçekliği” için tek başına kesin kanıt değildir (ör. benzer yazımlı bir alan adı için de sertifika alınabilir).

Daha teknik bir kontrol olarak Certificate Transparency kayıtları incelenebilir (tek başına doğrulama değildir; yardımcı sinyaldir):

• https://crt.sh/

3) WHOIS / kayıt bilgileri: Kesin kanıt değil, yardımcı sinyal

WHOIS verileri gizlilik nedeniyle maskelenebilir; bu tek başına şüphe sebebi değildir. Yine de aşağıdaki göstergeler, ekstra dikkat gerektirebilir:

• Alan adının çok yeni kayıtlı olması
• Beklenmedik/sık değişen nameserver bilgileri
• Bağlamla uyumsuz görünen kayıt kalıpları (tek başına hüküm vermeden)

Resmi WHOIS sorgulama için:

• https://lookup.icann.org/en

4) Yönlendirme zinciri (redirect chain): Son durduğunuz alan adı esas

Bazen tıkladığınız link, birkaç ara adresten geçip başka bir alan adına yönlendirir. Bu yüzden nihai sayfadaki alan adını tekrar kontrol edin.

• Beklenmedik bir domaine geçtiyseniz giriş yapmayın.
• Yer imi veya daha önce doğruladığınız kayıtlar üzerinden tekrar deneyin.

5) Harici itibar/tarama: Bilinen tehditleri elemek için

Şüpheli bir URL’yi, bilgi girmeden önce bilinen tarama hizmetleriyle kontrol edebilirsiniz. Bu araçlar her şeyi yakalamaz; ancak bilinen riskleri görmede faydalıdır.

• https://transparencyreport.google.com/safe-browsing/search
• https://www.virustotal.com/

Şüpheli bir sayfaya bilgi girdiyseniz ne yapmalısınız?

1. Hemen durun: Sekmeyi kapatın ve aynı sayfada başka işlem yapmayın.
2. Parolanızı değiştirin: Yalnızca daha önce doğruladığınız resmi kanal üzerinden.
3. 2FA’yı etkinleştirin veya yenileyin: Mevcutsa iki faktörlü doğrulamayı açın; yedek kodları güvenle saklayın.
4. Oturumları sonlandırın: Hesap güvenliği ayarlarında “tüm cihazlardan çıkış” seçeneği varsa kullanın.
5. E-posta hesabınızı güvene alın: E-posta parolasını değiştirin ve e-posta için de 2FA açın (çoğu hesabın ana kurtarma noktası e-postadır).
6. Cihaz kontrolü yapın: Güncel bir güvenlik çözümüyle tarama yapın ve tarayıcı eklentilerinizi gözden geçirin.

Hızlı özet tablosu

Sık Sorulan Sorular

Bir alan adının gerçek (meşru) olduğunu en hızlı nasıl anlarım?

En hızlı güvenli yöntem: Daha önce doğruladığınız yer imi veya parola yöneticisi kaydı üzerinden açmak; ardından adres çubuğunda alan adını dikkatle kontrol etmektir. Şüphede bilgi girmeyin.

HTTPS varsa site kesin güvenli midir?

Hayır. HTTPS yalnızca bağlantının şifreli olduğunu gösterir. Bu nedenle sertifikada alan adı eşleşmesini kontrol edin ve yine de alan adının doğru yazıldığından emin olun.

Sertifikadaki SAN/Subject ne işe yarar?

Sertifikanın hangi alan adları için geçerli olduğunu gösterir. Adres çubuğundaki domain ile sertifikadaki geçerli domain aynı değilse bu ciddi bir uyarıdır.

Redirect (yönlendirme) zinciri neden risklidir?

Link ilk bakışta normal görünse bile, birden çok ara adım sonunda farklı bir alan adına gidebilir. Bu yüzden “son durduğunuz” alan adını kontrol etmek önemlidir.

Yanlışlıkla şüpheli bir sayfaya parolamı girdim; ne yapmalıyım?

Parolanızı doğrulanmış kanaldan değiştirin, 2FA’yı açın/yenileyin, aktif oturumları kapatın ve e-posta hesabınızı da güvene alın. Ardından cihazınızda güvenlik taraması yapın.

Yöntem ve kaynaklar

Bu rehber; tarayıcı sertifika inceleme pratikleri, WHOIS sorgulama ve URL itibar kontrolü gibi genel güvenlik yaklaşımlarını temel alır. İnceleme için kullanılan/önerilen kamu kaynakları:

• ICANN WHOIS Lookup (alan adı kayıt sorgulama)
• Google Safe Browsing (Transparency Report) (URL durum kontrolü)
• VirusTotal (çoklu motorla URL/domain taraması)
• crt.sh (Certificate Transparency araması)
• Google Chrome Help (bağlantı güvenliği/sertifika bilgileri)
• Mozilla Support (güvenli bağlantıyı anlama)

Sonuç

Bir alan adının gerçekliğini doğrulamak için tek bir “mucize işaret” yoktur. En güvenli yaklaşım; kaynağı doğrulamak, alan adını dikkatle okumak, sertifika alan adı eşleşmesini kontrol etmek, yönlendirmeleri izlemek ve şüpheli URL’leri itibar/tarama araçlarıyla elemekten geçer. Herhangi bir kırmızı bayrakta “dur” kuralını uygulamak, kimlik avı kaynaklı hesap kayıplarını belirgin biçimde azaltır.