Dark Web Tehdit İstihbaratı Rehberi: Forumlar, Veri Sızıntıları ve Korunma (2026)
Dark Web Tehdit İstihbaratı Rehberi: Forumlar, Veri Sızıntıları ve Korunma (2026)
webfaresi.net
Dark web tehdit istihbaratı, 2026’da siber güvenlik dünyasının en kritik yetkinliklerinden biri haline geldi. CTI (Cyber Threat Intelligence) pazarı 10 milyar dolara ulaştı ve kurumların %84’ü tehdit avcılığını birincil kullanım alanı olarak belirledi. Bu rehberde dark web forumlarını nasıl takip edeceğini, veri sızıntılarını nasıl tespit edeceğini ve tehdit aktörlerinin TTP’lerini nasıl analiz edeceğini adım adım öğreneceksin.
📑 İçindekiler
- 1. Dark Web Tehdit İstihbaratı Nedir?
- 2. Yasal Çerçeve ve Etik Sınırlar
- 3. 2026’da Aktif Dark Web Forumları
- 4. Tehdit İstihbaratı Yaşam Döngüsü
- 5. Kullanman Gereken Araçlar Stack’i
- 6. Veri Sızıntısı Tespiti ve Analizi
- 7. Tehdit Aktörü TTP Analizi
- 8. Sık Yapılan Hatalar
- 9. CTI’dan Para Kazanma Yolları
- 10. Sık Sorulan Sorular (SSS)
- 11. Sonuç
1. Dark Web Tehdit İstihbaratı Nedir?
Dark web tehdit istihbaratı, şirketlerin ve bireylerin dark web forumlarında, marketlerde ve veri sızıntısı veritabanlarında yer alan hassas bilgilerini tespit etme, analiz etme ve aksiyon alma sürecidir. CTI (Cyber Threat Intelligence) ekipleri, bu verileri kullanarak saldırganların TTP’lerini (Tactics, Techniques, Procedures) anlar ve gelecekteki saldırıları önler.
2026 verilerine göre CTI pazarı 10 milyar doları aştı. SANS 2025 CTI Anketi’ne göre ekiplerin %72’si AI entegrasyonu yapıyor, %68’i tehdit manzarası raporları üretiyor. Dünya Ekonomik Forumu 2026 Küresel Siber Güvenlik Raporu’na göre güvenlik liderlerinin %87’si AI ile ilgili zafiyetleri en hızlı büyüyen risk olarak görüyor.
💡 Anahtar KavramIOC (Indicator of Compromise): Sistemin ihlal edildiğini gösteren kanıt. IP adresleri, domainler, hash’ler, e-posta adresleri gibi somut verilerdir.
TTP: Saldırganların kullandığı taktik, teknik ve prosedürlerdir. IOC’ler değişir, TTP’ler kalıcıdır.
2. Yasal Çerçeve ve Etik Sınırlar
Dark web’e erişmek Tor tarayıcısı kullanarak teknik olarak yasaldır. Ancak yasal sınır çok incedir:
- Yasal: Forumları gözlemlemek, açık kaynak istihbarat toplamak, IOC’leri analiz etmek
- Yasa Dışı: Çalıntı veri satın almak, illegal hizmet kullanmak, suç faaliyetlerinde bulunmak
- Gri Alan: Ücretli veritabanlarına erişmek, hacker’larla iletişim kurmak (ülkeye göre değişir)
⚠️ Dikkat: Yasal UyarıDark web forumlarında gezinirken hiçbir illegal içeriğe tıklamayın, veri satın almayın ve kimliğinizi açığa çıkarmayın. Kurumsal çalışmalarda mutlaka hukuk departmanı onayı alın. Her ülkenin cybercrime yasaları farklıdır.
3. 2026’da Aktif Dark Web Forumları
Dark web tehdit istihbaratı için bilmen gereken en aktif platformlar:
webfaresi.net
| Forum/Market | Tür | Odak | Tehdit Seviyesi |
|---|---|---|---|
| Breach Forums | Forum | Veri sızıntıları, database dump’lar | ⭐⭐⭐⭐⭐ |
| XSS.is | Forum | Exploit satışı, malware | ⭐⭐⭐⭐⭐ |
| Raid Forums | Forum | SWAT’ing, doxxing, harassment | ⭐⭐⭐⭐ |
| Hydra Market | Market | Drugs, fraud, counterfeit | ⭐⭐⭐ |
| Telegram Grupları | Messaging | Veri satışı, hack-for-hire | ⭐⭐⭐⭐⭐ |
| Discord Sunucuları | Messaging | Genç hacker toplulukları, initial access | ⭐⭐⭐⭐ |
✅ Pro Taktik2026’da en büyük değişim: Telegram ve Discord, geleneksel dark web forumlarının yerini alıyor. Çoğu tehdit aktörü artık Tor yerine bu platformları kullanıyor. İstihbarat operasyonunda OSINT + IMINT kombinasyonu şart.
4. Tehdit İstihbaratı Yaşam Döngüsü
Profesyonel bir dark web tehdit istihbaratı operasyonu 6 aşamadan oluşur:
webfaresi.net
4.1 Planlama ve Kapsam Belirleme
İlk adım, neyi koruduğunu bilmektir. Takip edilecek varlıklar:
- Domain ve alt domainler: *.sirket.com
- E-posta domaini: @sirket.com ile biten tüm adresler
- IP blokları: Şirkete ait IP aralıkları
- Marka ve ürün isimleri: Özel yazılım, servis adları
- Çalışan isimleri: C-level exec’ler, sistem admin’ler
4.2 Veri Toplama ve Keşif
Veri toplama iki şekilde yapılır: manuel (Tor + forum gezintisi) ve otomatik (scraper’lar + API’ler).
sudo apt install tor torbrowser-launcher
torbrowser-launcher
# Proxy ayarları: SOCKS5 127.0.0.1:9050# Python ile basit scraper
import requests
proxies = {‘http’: ‘socks5h://127.0.0.1:9050’, ‘https’: ‘socks5h://127.0.0.1:9050’}
response = requests.get(‘http://forum.onion’, proxies=proxies)
4.3 Analiz ve IOC Çıkarımı
Toplanan verilerden IOC’ler çıkarılır:
- IP Adresleri: C2 sunucuları, phishing hostları
- Domainler: Typosquatting, DGA domainler
- Hash’ler: MD5, SHA256 malware örnekleri
- E-postalar: Phishing kampanyaları, compromised hesaplar
- Wallet Adresleri: Ransomware ödeme adresleri
4.4 Raporlama ve Aksiyon
İstihbarat raporu şunları içermelidir:
- Executive Summary: C-level için 1 sayfalık özet
- Threat Actor Profili: Kim, neden, nasıl?
- IOC Listesi: Bloklanacak IP/domain/hash
- Risk Değerlendirmesi: Olası etki ve olasılık
- Öneriler: Somut aksiyon maddeleri
5. Kullanman Gereken Araçlar Stack’i
2026’da profesyonel bir dark web tehdit istihbaratı analisti şu araçları kullanır:
webfaresi.net
OSINT Araçları
- theHarvester: E-posta, subdomain, IP toplama
- Maltego: Görsel ilişki analizi
- Shodan: İnternet’e açık cihaz tarama
- Censys: Shodan alternatifi, daha detaylı
Dark Web Monitoring
- Have I Been Pwned: E-posta sızıntı kontrolü
- DeHashed: Ücretli, daha kapsamlı sızıntı arama
- Intelligence X: E-posta, domain, IP arama motoru
- Leak-Lookup: Toplu sızıntı veritabanı sorgusu
Kurumsal CTI Platformları
- Recorded Future: En kapsamlı, en pahalı
- Flashpoint: Dark web odaklı, forum analizi
- Mandiant Threat Intelligence: Google Cloud, APT odaklı
- Kela: Dark web ve Telegram monitoring
- SOCRadar: Uygun fiyatlı, geniş kapsamlı
Web sitesi zafiyet tespiti için kullanabileceğin detaylı araç listesine Web Sitesi Zafiyet Tespiti Araçları 2026 rehberimizden de göz atabilirsin.
6. Veri Sızıntısı Tespiti ve Analizi
Veri sızıntısı analizi, dark web tehdit istihbaratı‘nın en pratik alanıdır:
webfaresi.net
| Sızıntı Türü | Nasıl Tespit Edilir? | Risk Seviyesi |
|---|---|---|
| Database Dump | Forum aramaları, DeHashed, Have I Been Pwned | ⭐⭐⭐⭐⭐ |
| Credential Stuffing | Combo list’ler, brute force logları | ⭐⭐⭐⭐ |
| Source Code Leak | GitHub, GitLab, Pastebin taraması | ⭐⭐⭐⭐⭐ |
| Internal Document | Telegram grupları, anon file share’ler | ⭐⭐⭐⭐ |
| Customer Data | Dark web market’ler, özel satışlar | ⭐⭐⭐⭐⭐ |
import requests
email = “admin@hedeftsite.com”
headers = {“hibp-api-key”: “API_KEYINIZ”}
url = f”https://haveibeenpwned.com/api/v3/breachedaccount/{email}”
response = requests.get(url, headers=headers)
print(response.json())
7. Tehdit Aktörü TTP Analizi
TTP analizi, MITRE ATT&CK framework’ü ile yapılır. Her tehdit aktörü için:
webfaresi.net
- Initial Access: Nasıl girerler? Phishing? Exploit? Supply chain?
- Execution: Hangi malware’leri kullanırlar? Cobalt Strike? Sliver?
- Persistence: Sistemde nasıl kalırlar? Registry? Scheduled task?
- Exfiltration: Veriyi nasıl çekerler? C2? Cloud storage? Physical?
🏆 Altın KuralIOC’ler değişir, TTP’ler kalıcıdır. Bir saldırganın IP’sini bloklamak geçici çözümdür. Onun nasıl saldırdığını anlamak, gelecekteki saldırıları önler.
8. Sık Yapılan Hatalar
- Kimlik Açığa Çıkarma: Tor’da gerçek e-posta, kullanıcı adı kullanmak
- İllegal İçerik: CP, violence gibi içeriklere maruz kalmak
- Scam Kurbanı: Fake satıcılara para kaptırmak (hatta CTI çalışmasında!)
- Veri Saklama: Çalıntı veriyi bilgisayarında tutmak (yasal risk)
- AI Hype: Feedly anketine göre CTI ekipleri AI’ye fazla odaklanıp temel yetkinlikleri ihmal ediyor
9. CTI’dan Para Kazanma Yolları
Dark web tehdit istihbaratı becerinle para kazanma yolları:
webfaresi.net
| Yol | Ortalama Kazanç | Zorluk |
|---|---|---|
| Freelance CTI Analisti | $3.000 – $8.000/ay | ⭐⭐⭐ |
| Bug Bounty + CTI | $1.000 – $15.000/bulgu | ⭐⭐⭐⭐ |
| OSINT Training/Eğitim | $500 – $5.000/kurs | ⭐⭐⭐ |
| Kurumsal CTI Danışmanlığı | $5.000 – $20.000/proje | ⭐⭐⭐⭐⭐ |
| Threat Feed Satışı | $500 – $3.000/ay (abonelik) | ⭐⭐⭐⭐ |
10. Sık Sorulan Sorular (SSS)
webfaresi.net
Dark web tehdit istihbaratı nedir?
Dark web tehdit istihbaratı, şirketlerin ve bireylerin dark web forumlarında, marketlerde ve veri sızıntısı veritabanlarında yer alan hassas bilgilerini tespit etme ve analiz etme sürecidir.
Dark web’e girmek yasal mı?
Tor tarayıcısı kullanarak dark web’e erişmek teknik olarak yasaldır. Ancak illegal içeriklere erişmek, veri satın almak veya suç faaliyetlerinde bulunmak yasa dışıdır.
Veri sızıntısı nasıl anlaşılır?
Have I Been Pwned, DeHashed gibi servislerle e-posta adreslerinizi kontrol edebilirsiniz. Kurumsal düzeyde ise dark web monitoring araçları kullanılır.
En iyi dark web monitoring araçları hangileri?
2026’da en popüler araçlar: Flashpoint, Recorded Future, Mandiant Threat Intelligence, Kela, SOCRadar ve PhishLabs’tir.
11. Sonuç
Dark web tehdit istihbaratı, 2026’da siber güvenlik profesyonellerinin vazgeçilmez yetkinliğidir. Forumları takip etmek, veri sızıntılarını tespit etmek ve tehdit aktörlerini analiz etmek — hepsi öğrenilebilir beceriler. Bugün başla, yarın uzman ol.
