SIBER 2026-06-12 · 6 dk okuma

Subdomain Takeover: 3 Dakikada Milyon TL Ceza Riski

campaigns.şirket.com.tr DNS'inde dangling CloudFront. Saldırgan kendi distribution'ını alıp phishing yapabilir. Geçen ay bir fintech'te yakaladığım vakanın anatomisi.

Yazan: Niyazi Önder Duman

Geçen ay bir fintech müşterimin sitesi üzerinde Aegis taramasını çalıştırdım. İlk taramanın 3. dakikasında: campaigns.[şirket].com → CNAME → d33tg96d6fc1uq.cloudfront.net kaydını buldu. Ama o CloudFront distribution'ı silinmişti.

Bu klasik bir subdomain takeover senaryosu. Bu yazıda saldırı vektörünü, tespitini ve nasıl önleneceğini anlatıyorum.

Saldırı senaryosu — adım adım

  1. Şirket pazarlama ekibi 3 yıl önce CloudFront distribution kurar (kampanya mikrositesi için)
  2. campaigns.şirket.com.tr DNS'inde CNAME → d33tg96d6fc1uq.cloudfront.net kaydı eklenir
  3. Kampanya biter, CloudFront distribution silinir
  4. DNS kaydı silinmez — kimsenin aklında değildir
  5. Şimdi DNS chain bir yere işaret etmiyor (dangling)
  6. Saldırgan AWS hesabı açıp yeni bir CloudFront distribution oluşturur
  7. AWS rastgele yeni distribution ID atar. Çoğunlukla farklıdır ama mass-registration scriptleri ile binlerce dangling CNAME taranır ve eşleşme aranır
  8. Eşleşme oluşursa saldırgan CloudFront ID'sini "claim" eder → campaigns.şirket.com.tr artık saldırganın içeriği
  9. Saldırgan phishing sayfası, kart toplama formu, sahte ödeme akışı koyabilir

Müşterinin gerçek tehlikesi

Müşterileriniz campaigns.şirket.com.tr/odul-2024 linkine geldiğinde URL bar resmi domain'inizi gösterir. SSL sertifikası geçerli (CloudFront otomatik üretir). Görsel ve renkler şirketinizin sitesindeki gibi.

Kart bilgisini girer, IBAN paylaşır, "doğrulama kodu" göndermesini ister. Şirketinizin yüzüne hesap soracaktır.

KVKK boyutu — ceza riski

KVKK Kurulu 2023-2024 kararlarında subdomain takeover sonucu müşteri verisi sızıntısı vakalarına ₺500K - ₺2.5M arası ceza uyguladı. Madde 12.1 (veri güvenliği) ihlali olarak değerlendiriliyor — "şirket yeterli teknik tedbir almamış".

BDDK regulated bir kuruluşsanız ek olarak BDDK Bilgi Sistemleri Yönetmeliği denetim incelemesi de açılabilir.

Nasıl tespit edilir

Sadece dig komutuyla:

$ dig campaigns.şirket.com.tr CNAME +short
d33tg96d6fc1uq.cloudfront.net.

$ dig d33tg96d6fc1uq.cloudfront.net +short
# (boş çıktı = dangling)

CNAME var ama hedef IP'si yok = dangling. Tehlikedesiniz.

Daha sistematik: tüm subdomain'lerinizi (crt.sh + CT logs ile) listele, hepsi için CNAME zinciri kontrolü yap. Aegis Scanner'ın subdomain takeover modülü bunu haftalık otomatik yapar.

Nasıl kapatılır

Üç seçenek:

  1. DNS kaydını sil — Cloudflare/Route53 panel'ine git, ilgili CNAME'i kaldır. En temiz çözüm.
  2. Geçerli bir hedefe bağla — Yeni CloudFront distribution kur veya 301 redirect (ana siteye)
  3. Defansif claim — AWS hesabınızda yeni distribution oluştururken silinmiş ID'yi tekrar talep et. Saldırgan eline geçmesin diye placeholder içerik koy.

Önerim: kaldırın. Aktif kullanım yoksa DNS sade kalsın.

Önleme — sürekli izleme

Tek seferlik düzeltme yeterli değil. Pazarlama ekibi gelecek hafta yeni bir kampanya distribution'u açacak, kampanya bitince hatırlayan olmayacak.

Aegis Pro ile haftalık otomatik subdomain takeover taraması:

  • Her subdomain'in CNAME zinciri kontrol edilir
  • 15+ servis için fingerprint (CloudFront, Heroku, GitHub Pages, S3, Azure CDN, vb.)
  • Yeni dangling tespit edilir edilmez Slack/e-posta bildirimi
  • "Düzeltmemi Kontrol Et" ile sonradan doğrulama

Aylık ₺2.990 — bir tek önlenmiş takeover olayı 200 yıllık abonelik bedeli.

Fintech için Aegis veya manuel pentest vs Aegis karşılaştırması.

Aegis Scanner'ı ücretsiz deneyin

Domain'inizi 15 saniyede tarayın — kayıt olmadan, kart bilgisi olmadan.

Hızlı Tara →