Kripto Oltalama Saldırılarını Önleme: Çevrimiçi Güvende Kalın

Oltalama, kripto para hırsızlığında en yaygın saldırı vektörüdür. Kriptografik zayıflıkları sömürmekten farklı olarak (hesaplama açısından uygulanabilir değildir), oltalama insan psikolojisini sömürür; kullanıcıları seed phrase, private key veya borsa kimlik bilgilerini gönüllü olarak vermeleri için kandırır. Sektör raporlarına göre oltalama saldırıları, kripto para kayıplarının önemli bir bölümünü oluşturur ve bu tekniklerle her yıl milyarlarca dolar çalınır.

Bu rehber, başlıca kripto oltalama saldırı türlerini kataloglar, bunları nasıl tespit edeceğinizi öğretir ve kendinizi korumak için somut karşı önlemler sunar.

Kripto Oltalama Nasıl Çalışır

Oltalama, saldırganın işine yarayan bir eylemi yapmanız için aldatma kullanan bir sosyal mühendislik türüdür. Kripto para dünyasında bu genellikle şu anlama gelir:

1. Kimlik bilgisi toplama — Borsa giriş bilgilerinizin ve 2FA kodlarınızın çalınması.
2. Seed phrase hırsızlığı — Sizi seed phrase’inizi sahte bir cüzdana veya web sitesine girmeye kandırma.
3. Kötü amaçlı işlem imzalama — Cüzdanınızı boşaltan bir akıllı sözleşme işlemini onaylatma.
4. Adres değiştirme — Meşru bir alıcı adresini saldırganın adresiyle değiştirme.

Ortak nokta aldatmadır: kötü amaçlı bir şeyi meşru gibi göstermek.

Kripto Oltalama Saldırı Türleri

1. Sahte Cüzdan Web Siteleri

Saldırganlar, meşru cüzdan sitelerinin (MetaMask, Ledger, Trezor vb.) piksel düzeyinde kopyalarını oluşturur ve şu yollarla trafik çeker:

• Cüzdanla ilgili arama terimleri için Google/Bing reklamları.
• Yazım benzeri alan adları (ör. metamaask.io, ledger-wallet.com).
• Gerçek sitenin üstünde veya yakınında sıralanmak için SEO manipülasyonu.
• Sponsorlu sosyal medya gönderileri.

Sahte site, seed phrase’inizi girerek cüzdanınızı "bağlamanızı" veya "geri yüklemenizi" ister. Girdiğiniz anda saldırgan seed phrase’inizi alır ve tüm fonları boşaltır.

Kırmızı bayraklar:

• URL, resmi alan adından farklıdır (tek bir karakter bile olsa).
• Site sizden seed phrase ister. Meşru cüzdan siteleri bunu asla istemez.
• Tarayıcı güvenlik uyarıları veya eksik HTTPS sertifikası.
• Siteye organik sonuçlar yerine arama reklamı üzerinden ulaştınız.

Önleme:

• Resmi cüzdan sitelerini yer imlerine ekleyin ve her zaman yer iminden girin.
• Herhangi bir bilgi girmeden önce URL’yi karakter karakter doğrulayın.
• Seed phrase’inizi hiçbir web sitesine girmeyin. Nokta.
• Cüzdan yazılımlarını yalnızca resmi kaynaklardan indirin (uygulama mağazaları, GitHub sürümleri).

2. Sahte Tarayıcı Eklentileri

Meşru kripto cüzdanlarını (özellikle MetaMask) taklit eden kötü amaçlı tarayıcı eklentileri Chrome Web Store, Firefox Add-ons ve diğer eklenti pazarlarında görüldü:

• Eklenti, gerçeğiyle birebir aynı görünür.
• "Oluşturduğunuzda" veya "içe aktardığınızda" seed phrase’inizi yakalar.
• Bazı kötü amaçlı eklentiler gerçek eklentiden gelen işlemleri ele geçirir.

Önleme:

• Eklentileri yalnızca resmi cüzdanın web sitesindeki bağlantıdan kurun.
• Tarayıcı eklenti mağazasında eklenti kimliğini ve geliştirici adını doğrulayın.
• Kullanıcı sayısını ve yorumları kontrol edin (sahte eklentiler genellikle daha azdır).
• Kurulumdan sonra eklentiyi resmi cüzdan sitesinden doğrulayın.

3. E-posta Oltalaması

Saldırganlar, borsaları, cüzdan sağlayıcılarını veya kripto hizmetlerini taklit eden e-postalar gönderir:

• "Hesabınız ele geçirildi — kimliğinizi hemen doğrulayın."
• "Bilinmeyen cihazdan yeni giriş algılandı — hesabınızı güvenceye almak için buraya tıklayın."
• "Çekim işleminiz beklemede — giriş yaparak onaylayın."
• "Ledger cihazınız için firmware güncellemesi gerekiyor — güncellemek için tıklayın."

E-posta, kimlik bilgilerinizi yakalayan bir oltalama sitesine bağlantı içerir.

Kırmızı bayraklar:

• Gönderen adresi resmi alan adıyla uyuşmuyor (dikkatlice kontrol edin — [email protected], [email protected] değildir).
• Genel hitap ("Dear Customer", adınız yerine).
• Aciliyet dili ("hemen harekete geçin", "anında işlem gerekli").
• Üzerine gelince farklı alan adlarına giden bağlantılar.
• Seed phrase veya private key talepleri (meşru şirketler bunları asla istemez).

Önleme:

• Borsa veya cüzdandan geliyormuş gibi görünen e-postalardaki bağlantılara asla tıklamayın.
• URL’yi yazarak veya yer imi kullanarak doğrudan resmi siteye gidin.
• E-posta filtreleme ve anti-phishing korumasını etkinleştirin.
• Oltalama e-postalarını taklit edilen şirkete bildirin.

4. Sosyal Medya Dolandırıcılıkları

Taklit Hesaplar

Saldırganlar, kripto influencer’larını, proje kurucularını veya destek personelini taklit eden sosyal medya hesapları oluşturur. Yardım isteyen kullanıcılara yanıt verirler:

• "DM at, cüzdanını düzeltmene yardım edeyim."
• "Sorunu teşhis edebilmemiz için seed phrase’ini gönder."
• "Çekiliş yapıyoruz — 0.1 ETH gönder, 1 ETH geri al."

Önleme:

• Hesabın gerçekliğini doğrulayın (onay işareti, takipçi sayısı, hesap yaşı, gönderi geçmişi).
• Hiçbir meşru destek ekibi seed phrase veya private key istemez.
• Hiçbir meşru çekiliş sizden önce kripto göndermenizi istemez.

Sahte Airdrop ve Token Talepleri

Saldırganlar "ücretsiz airdrop" bağlantıları dağıtır:

• "Ücretsiz UNISWAP token’larını talep et" (oltalama sitesine bağlantıyla).
• Cüzdanınızda "Talep etmek için claimreward.xyz adresini ziyaret et" gibi isimli sahte token’lar görünür.
• Talep sitesi, cüzdanınızı bağlamanızı ve kötü amaçlı bir işlemi onaylamanızı ister.

Önleme:

• Cüzdanınızda kendiliğinden beliren token’larla etkileşime girmeyin.
• Bilinçli olarak gitmediğiniz sitelerde işlemleri onaylamayın.
• Airdrop duyurularını yalnızca projenin resmi kanallarından doğrulayın.

5. Discord ve Telegram Dolandırıcılıkları

Discord ve Telegram’daki kripto toplulukları yoğun şekilde hedef alınır:

• Sahte destek kanalları — Saldırganlar resmi desteği taklit eden kanallar oluşturur.
• DM oltalaması — Genel kanalda soru paylaştıktan sonra saldırganlar destek personeli gibi DM atar.
• Sahte yönetici mesajları — Kullanıcıları oltalama sitelerine yönlendirmek için yönetici taklidi yaparlar.
• Ele geçirilmiş sunucular — Saldırganlar yönetici erişimi alıp resmi kanallarda oltalama bağlantıları paylaşır.

Önleme:

• Discord ayarlarından sunucu üyelerinden gelen DM’leri kapatın.
• Yardımın DM’den değil resmi destek kanallarından geldiğini doğrulayın.
• Cüzdanınız hakkında özel konuşma başlatan herkese şüpheyle yaklaşın.
• Duyuruları projenin resmi web sitesiyle karşılaştırın.

6. QR Kod Oltalaması

Saldırganlar kötü amaçlı adresleri veya URL’leri kodlayan QR kodlar sunar:

• Fiziksel bir yerdeki (afiş, etiket) oltalama sitesine giden QR kod.
• Satıcının adresi yerine saldırganın adresini kodlayan QR kod.
• Çevrimiçi görsellerde veya videolarda QR kodlar.

Önleme:

• Herhangi bir işlem yapmadan önce QR kodun çözümlenen içeriğini doğrulayın.
• QR koddan çıkan adresi, bağımsız bir kanal üzerinden beklenen adresle karşılaştırın.
• Güvenilmeyen kaynaklardan gelen QR kodları taramayın.

7. Address Poisoning

Bu gelişmiş saldırı, cüzdan arayüzlerindeki adres kısaltmasını hedef alır:

1. Saldırgan, yakın zamanda işlem yaptığınız bir adresin baştaki ve sondaki birkaç karakteriyle eşleşen bir adres üretir.
2. Saldırgan bu benzer adresten size çok küçük bir işlem (dust) gönderir.
3. Daha sonra işlem geçmişinizden adres kopyaladığınızda yanlışlıkla saldırganın benzer adresini kopyalayabilirsiniz.

Önleme:

• Yalnızca ilk ve son birkaç karaktere değil, adresin tamamına bakarak doğrulayın.
• Adresleri işlem geçmişinden kopyalamayın, orijinal kaynağı kullanın.
• Bazı cüzdanlar artık address poisoning girişimlerini vurguluyor.

8. Clipboard Hijacking

Panonuzu izleyen ve kripto para adreslerini saldırganın adresiyle değiştiren zararlı yazılımlar:

• Fon göndermek için meşru bir adres kopyalarsınız.
• Zararlı yazılım bunu sessizce saldırganın adresiyle değiştirir.
• Yapıştırıp gönderirsiniz, fonlar saldırgana gider.

Önleme:

• Yapıştırılan adresin orijinaliyle eşleştiğini en az ilk 6 ve son 6 karakteri karşılaştırarak her zaman doğrulayın.
• Doğrulama için alıcı adresini cihaz ekranında gösteren donanım cüzdanları kullanın.
• Anti-malware yazılımı çalıştırın ve sisteminizi güncel tutun.
• Yüksek tutarlı işlemlerde adresleri elle yazmayı düşünebilirsiniz (ancak bu da yazım hatası riski getirir).

9. Sahte Mobil Uygulamalar

Uygulama mağazalarındaki sahte cüzdan ve borsa uygulamaları:

• Gerçek uygulamayla aynı görünür, ancak kimlik bilgilerini veya seed phrase’leri çalan kod içerir.
• Sahte yorumlarla yüksek puana sahip olabilir.
• Çoğu zaman yeni bir meşru uygulama yayınlandıktan kısa süre sonra ortaya çıkar.

Önleme:

• Yalnızca resmi web sitesindeki bağlantılardan indirin.
• Uygulama mağazasında geliştirici adını doğrulayın.
• Uygulamanın yayın tarihini ve yorum sayısını kontrol edin.
• Sahte uygulamaları uygulama mağazasına bildirin.

Kötü Amaçlı Akıllı Sözleşme Onayları

DeFi’de özellikle tehlikeli bir oltalama biçimi, kullanıcıları kötü amaçlı akıllı sözleşme etkileşimlerini onaylamaya kandırmaktır:

Token Onay Dolandırıcılıkları

Bir DeFi protokolüyle etkileşime geçtiğinizde, genellikle akıllı sözleşmeye token’larınızı harcama izni verirsiniz. Kötü amaçlı bir site sınırsız onay isteyebilir; bu da sitenden ayrıldıktan sonra bile cüzdanınızdaki belirli bir token’ın tamamını istediği zaman boşaltmasına izin verir.

Önleme:

• İmzalamadan önce her işlem onayını dikkatle inceleyin.
• İnsan tarafından okunabilir işlem açıklamaları gösteren bir cüzdan kullanın.
• Token onaylarını tam gereken miktarla sınırlayın ("unlimited" değil).
• Revoke.cash gibi araçlarla gereksiz onayları düzenli olarak gözden geçirip iptal edin.

Blind Signing

Bazı oltalama saldırıları, cüzdan arayüzü tarafından tam çözümlenemeyen işlemler sunar ve "blind signing"e yol açar; yani etkilerini doğrulayamadığınız bir işlemi onaylarsınız. Bu durum özellikle NFT pazar yeri emirlerinde ve karmaşık DeFi etkileşimlerinde tehlikelidir.

Önleme:

• Tam olarak anlamadığınız bir işlemi asla onaylamayın.
• İşlem simülasyonunu destekleyen cüzdanlar kullanın (imzadan önce beklenen sonucu gösterir).
• Bir dApp okunamayan bir şey imzalamanızı istiyorsa imzalamayın.

SafeSeed Aracı

SafeSeed Paper Wallet Creator cüzdanları tamamen tarayıcınızda üretir; harici servislere bağlantı yok, işlem imzalama yok, akıllı sözleşme onayı yok. Kripto parayı soğuk depoda almak ve saklamak için kâğıt cüzdanlar, kötü amaçlı dApp’ler üzerinden oltalama riskini tamamen ortadan kaldırır.

Oltalamaya Dayanıklı Bir Kurulum Oluşturma

1. Donanım Cüzdanı Kullanın

Donanım cüzdanları kritik bir savunma katmanı sağlar: işlem ayrıntılarını kendi ekranlarında gösterirler ve bu, bilgisayarınızdaki zararlı yazılımlar tarafından manipüle edilemez. Bir oltalama sitesini ziyaret etseniz bile, donanım cüzdanı imzalamadan önce doğrulamanız için gerçek işlemi gösterir.

2. Sadece Yer İmleri Kullanın

Kullandığınız her kripto hizmeti için yer imi oluşturun:

• Borsanız (Coinbase, Binance, Kraken vb.)
• Cüzdan sağlayıcınızın web sitesi
• Düzenli kullandığınız DeFi protokolleri

Bu sitelere gitmek için arama motoru kullanmayın. Her zaman yer imlerini kullanın.

3. İşlem Yapmadan Önce Doğrulayın

Kimlik bilgileri, seed phrase veya işlem imzalama içeren her eylemden önce:

• Tarayıcı adres çubuğundaki URL’yi doğrulayın.
• Alıcı adresini bağımsız bir kanal üzerinden doğrulayın.
• İşlem ayrıntılarını donanım cüzdanınızın ekranında doğrulayın.
• İsteğin mantıklı olup olmadığını değerlendirmek için kısa bir duraklayın.

4. Tüm İstenmeyen İletişimi Dolandırıcılık Varsayın

Hiçbir borsa, cüzdan sağlayıcısı veya kripto projesi asla:

• Seed phrase veya private key istemez.
• E-posta ya da DM ile şifrenizi istemez.
• Cüzdanınızı "doğrulamak" için kripto göndermenizi istemez.
• Yardım teklif ederek size ilk DM’i atmaz.

5. Ayrı Cüzdanlar Kullanın

Farklı amaçlar için ayrı cüzdanlar bulundurun:

• Soğuk depolama cüzdanı — Hiçbir dApp’e bağlanmaz. Fonlarınızın çoğunu tutar.
• DeFi için sıcak cüzdan — Yalnızca aktif kullandığınız miktarı tutar. Ele geçirilirse kayıp sınırlı olur.
• Yeni protokoller için burner cüzdan — Bilinmeyen protokolleri minimum fonla test etmek için kullanılır.

6. Mevcut Tüm Güvenlik Özelliklerini Etkinleştirin

• Tüm borsa hesaplarında 2FA — SMS değil, doğrulayıcı uygulamalar (TOTP) kullanın.
• Çekim adresi beyaz listesi — Çekimleri yalnızca ön onaylı adreslerle sınırlandırın.
• E-posta bildirimleri — Tüm hesap etkinlikleri için uyarı alın.
• Anti-phishing kodu — Birçok borsa, sizden gelen tüm meşru e-postalarda görünecek bir kod belirlemenize izin verir.

Oltalamaya Maruz Kaldıysanız Ne Yapmalısınız?

Seed Phrase’iniz Ele Geçirildiyse

1. Hemen harekete geçin. Temiz ve güvenilir bir cihazda, yeni bir seed phrase ile yeni bir cüzdan oluşturun.
2. Tüm fonları ele geçirilmiş cüzdandan yeni cüzdana aktarın. Hız kritiktir; otomatik botlar ele geçirilmiş cüzdanları dakikalar içinde boşaltır.
3. Gas ücretinin gerektiği zincirlerdeki token’lar için önce ele geçirilmiş cüzdana gas göndermeniz gerekebilir; saldırganların gelen ETH’yi siz kullanmadan önce çekebileceğini unutmayın.
4. Ele geçirilmiş seed phrase’i bir daha asla kullanmayın.

Borsa Kimlik Bilgileriniz Ele Geçirildiyse

1. Hemen borsaya giriş yapın (resmi siteyi kullanarak) ve şifrenizi değiştirin.
2. 2FA’nızı sıfırlayın.
3. Yetkisiz çekim veya API key oluşturulup oluşturulmadığını kontrol edin.
4. Gerekirse hesabınızı geçici olarak dondurmak için borsa desteğiyle iletişime geçin.
5. E-posta hesabınızı yetkisiz erişim için inceleyin (saldırgan e-postanızı da ele geçirmiş olabilir).

Kötü Amaçlı Bir Akıllı Sözleşmeyi Onayladıysanız

1. Token onay yönetim aracıyla (Revoke.cash veya Etherscan'in token approval checker’ı) onayı hemen iptal edin.
2. Kalan token’ları farklı bir cüzdana aktarın.
3. Son onayların tümünü gözden geçirin ve şüpheli olanları iptal edin.

SSS

En yaygın kripto oltalama saldırısı nedir?

Kullanıcıları seed phrase girmeye kandıran sahte cüzdan siteleri ve tarayıcı eklentileri en yaygın ve en zarar verici kripto oltalama saldırılarıdır. Bu siteler meşru cüzdan sağlayıcılarıyla aynı görünür ve çoğu zaman arama sonuçlarındaki reklamlarda veya sosyal medya paylaşımlarındaki bağlantılarda yer alır.

Bir web sitesinin kripto oltalama sitesi olduğunu nasıl anlarım?

URL’yi dikkatlice kontrol edin; oltalama siteleri resmi alan adına benzeyen ama farklı alan adları kullanır. SSL sertifikasını doğrulayın, projenin resmi sosyal medya bağlantılarını kontrol edin ve seed phrase’inizi hiçbir web sitesine girmeyin. Bir site seed phrase istiyorsa bu bir oltalama sitesidir; hiçbir meşru cüzdan sitesi seed phrase istemez.

Donanım cüzdanı beni oltalamadan koruyabilir mi?

Donanım cüzdanı, işlem ayrıntılarını doğrulama için kendi ekranında göstererek bazı oltalama saldırılarına karşı koruma sağlar. Ancak seed phrase oltalamasına (seed phrase’i sahte bir siteye yazmanız) veya sosyal mühendislik saldırılarına karşı koruyamaz. Onaylamadan önce adresleri her zaman donanım cüzdanının ekranında doğrulayın.

Seed phrase’imi bir oltalama sitesine girdiysem ne yapmalıyım?

Ele geçirilmiş cüzdandaki tüm fonları hemen yeni bir cüzdana aktarın (güvenli bir cihazda, yeni bir seed phrase ile oluşturulmuş). Ele geçirilmiş cüzdana ek fon göndermeyin. Tüm cüzdanı kalıcı olarak ele geçirilmiş kabul edin; o seed phrase’den türetilen tüm adresler risk altındadır.

Kripto giveaway dolandırıcılıkları gerçek mi?

Önce fon göndermenizi isteyen kripto para giveaway’lerinin neredeyse tamamı dolandırıcılıktır. "0.1 ETH gönder, 1 ETH al" formatı klasik bir oltalama desenidir. Meşru airdrop’lar asla önce kripto göndermenizi istemez.

Address poisoning’den nasıl korunurum?

Kripto para gönderirken yalnızca ilk ve son birkaç karakteri değil, adresin tamamını doğrulayın. Adresleri işlem geçmişinizden kopyalamayın; orijinal kaynağı kullanın (alıcının doğrulanmış adresi). Bilinmeyen adreslerden gelen küçük tutarlı işlemlere şüpheyle yaklaşın.

2FA beni oltalamadan koruyabilir mi?

Standart TOTP tabanlı 2FA, gerçek zamanlı oltalamaya karşı sınırlı koruma sağlar (saldırganın 2FA kodunuzu anında gerçek siteye iletmesi). FIDO2/WebAuthn kullanan donanım güvenlik anahtarları (YubiKey gibi), kimlik bilgilerini paylaşmadan önce sitenin alan adını doğruladıkları için çok daha güçlü oltalama koruması sağlar.

DeFi’de approval phishing nedir?

Approval phishing, kötü amaçlı bir akıllı sözleşmeye token’larınızı harcama izni vermeniz için sizi kandırır. Onay verildiğinde sözleşme, ek bir etkileşim olmadan token’larınızı istediği zaman boşaltabilir. Onayları her zaman dikkatle inceleyin, onay miktarlarını sınırlayın ve kullanılmayan onayları düzenli olarak iptal edin.

İlgili Rehberler

• Kriptoda Sosyal Mühendislik Saldırıları
• Borsa Hesabı Güvenliği
• Seed Phrase: Kapsamlı Rehber
• Private Key Güvenlik Rehberi
• Soğuk Cüzdan Rehberi