İnternet dünyasını üç katmanlı bir okyanus gibi düşünebiliriz. En üstte, hepimizin Google ile arayıp bulabildiği, ışık alan “Yüzey Ağ” (Surface Web) vardır. Onun altında, şifreyle girilen banka hesaplarımız veya şirket içi portallarımızdan oluşan devasa “Derin Ağ” (Deep Web) bulunur. Okyanusun en dibinde ise, özel tarayıcılar (Tor Browser) olmadan ulaşılamayan, kimliklerin kriptografik olarak gizlendiği ve arama motorları tarafından indekslenmeyen o meşhur Karanlık Ağ (Dark Web) yatar.

Dark Web, doğası gereği kötü değildir; ancak sunduğu mutlak anonimlik, onu siber suçlular, veri hırsızları ve fidye yazılımı (Ransomware) çeteleri için kusursuz bir küresel karaborsaya dönüştürmüştür. Bir hacker şirketinizi hacklediğinde, çaldığı veriyi kendi bilgisayarında tutup gururlanmaz. Amacı onu paraya çevirmektir. Bunun için Dark Web’deki yeraltı hacker forumlarına (örneğin BreachForums, Exploit.in, XSS.is) girer ve bir ilan açar. İşte Dark Web Monitoring, bu ilanların arasına sızıp, “Acaba şu an benim şirketimi mi satıyorlar?” sorusunun cevabını arama sanatıdır.

İstihbarat Ağı Nasıl Kurulur? (İnsan ve Makine Sinerjisi)

Dark Web’i izlemek, bir stajyerin sabahtan akşama kadar illegal sitelerde arama yapmasıyla olmaz. Bu siteler sürekli adres değiştirir, üye olmak zordur ve arama motorları yoktur. Modern tehdit istihbaratı, devasa bir otomasyon ve sızma operasyonudur.

• Dijital Avatarlar ve Güven İnşası: Hacker forumlarına herkes üye olamaz. Tehdit istihbarat şirketlerinde çalışan uzmanlar, yıllar boyunca Dark Web’de sahte kimlikler (Avatarlar) yaratır, diğer suçlularla sohbet edip güven kazanır ve o gizli odalara sızarlar.

• Örümcek Ağları (Crawlers): İçeri girildikten sonra devreye yapay zeka ve otomatik örümcek (Crawler) yazılımları girer. Bu yazılımlar 7/24 o forumlardaki tüm yeni başlıkları, Telegram ve Tox gibi şifreli mesajlaşma gruplarındaki sohbetleri ve fidye yazılımı çetelerinin “İfşa Sitelerini” (Leak Sites) anlık olarak kopyalayıp kurumsal bir veritabanına aktarır.

Radara Yakalananlar: Yeraltında Ne Arıyoruz?

Oluşturulan bu devasa yeraltı veritabanı içinde, şirketler kendi varlıklarını korumak için alarm kuralları yazarlar:

• Sızdırılmış Veritabanları (Data Dumps): Hackerlar bazen bir şirketin tüm müşteri veritabanını kanıt olarak birkaç satır örnek veriyle satışa çıkarır. Sistem, bu örnek verilerin içindeki şirket e-posta uzantılarını (@sirketiniz.com) tespit ederse anında alarm üretir.

• Başlangıç Erişim Komisyoncuları (Initial Access Brokers – IAB): Bu, Dark Web’in en tehlikeli ticaretidir. Bazı hackerlar sadece şirketin uzak masaüstü (RDP) veya VPN şifresini kırarlar ve bu “Açık Kapı”yı forumda açık artırmayla satarlar. İlanda şirketin adı yazmaz; “Türkiye’de lojistik firmasının VPN erişimi” yazar. İstihbarat uzmanları bu profili analiz edip hedefin kendi şirketleri olup olmadığını bulmaya çalışır.

• Çalınmış Kredi Kartları (BIN Taraması): Bankalar, Dark Web’deki kredi kartı marketlerinde bankalarına ait olan BIN (Bank Identification Number) numaralarını taratır. Eğer binlerce kart aynı anda satışa düştüyse, o kartları anında iptal edip müşterilerini korurlar.

Gürültü ve İllüzyon: Hackerlar Arasındaki Güvenilmezlik

Dark Web istihbaratının en zorlayıcı kısmı teknik değil, psikolojik analizdir. Yeraltı dünyasında suçlular sürekli olarak birbirlerini dolandırmaya çalışırlar.

Bir forumda şirketinizle ilgili “Tüm veritabanını ele geçirdim!” diyen biri çıkabilir. Ancak yönetim hemen panikleyip KVKK Kuruluna haber vermeden önce analistin o ilanı doğrulaması gerekir. Çoğu zaman satışa çıkarılan veri, eski bir sızıntının yeniden paketlenmiş halidir veya tamamen sahtedir. Analist, satıcının forumdaki itibarına (Reputation Score) ve sunduğu “örnek verinin” tazeliğine bakarak bunun bir blöf mü yoksa gerçek bir kriz mi olduğuna karar verir.

Proaktif Savunmanın Nihai Hali

Eskiden siber güvenlik, “Bize saldırırlarsa onları Firewall’da durdururuz” mantığıyla yapılırdı. Ancak günümüzde bir çalışanın, evindeki kişisel bilgisayarından sızan şirket parolaları doğrudan Dark Web pazarlarına düşmektedir. Sizin ağınız güvende olsa bile, çalışanınızın kişisel bilgisayarındaki ihmal yüzünden anahtarlarınız yeraltında elden ele dolaşabilir.

Dark Web Monitoring, şirketin etrafına çekilmiş bir çit değil, düşman hatlarının gerisine yerleştirilmiş bir dinleme cihazıdır. Güvenlik ekiplerinin (SOC), olay daha kapıya dayanmadan, hackerların fısıldaşmalarını duyup o çalınan parolayı iptal etmesini sağlayan hayati bir “Erken Uyarı” mekanizmasıdır.