Kripto Varlıklarınızı Koruyun: Kimlik Avı ve Dolandırıcılığa Karşı Güvenlik Kılavuzu
Kripto para dünyasında güvenlik, sadece bir tavsiye değil, bir zorunluluktur. Dijital varlıklarınızı, sürekli gelişen kimlik hırsızlığı, dolandırıcılık ve diğer sahtekarlık yöntemlerine karşı nasıl koruyabileceğinizi öğrenin.

Kripto paraların merkeziyetsiz dünyası muazzam fırsatlar sunuyor, ancak bununla birlikte yeni riskler de ortaya çıkıyor. Kimlik avı, dolandırıcılık, kötü niyetli akıllı sözleşmeler ve diğer dolandırıcılık türleri, dijital varlıklarınızı sürekli olarak tehdit ediyor. Güvende kalmak için bilgili olmak ve proaktif güvenlik önlemleri almak hayati önem taşıyor.
Kripto Varlıklara Yönelik Başlıca Tehditler
1. Kimlik Avı ve Sahte Web Siteleri
Dolandırıcılar, popüler kripto borsalarının, cüzdanların veya DeFi platformlarının birebir kopyalarını oluşturarak sizi kandırıp özel anahtarlarınızı, tohum ifadelerinizi veya giriş bilgilerinizi ifşa etmenizi sağlamaya çalışır. Web sitesinin URL’sini her zaman iki kez kontrol edin ve e-postalardan veya mesajlardan gelen bağlantılar yerine yer imlerini kullanın.
2. Cüzdan Boşaltıcılar
Bunlar, cüzdanınıza bağlandıklarında veya bir işlemi imzaladıklarında, tüm varlıklarınızı saldırganın cüzdanına aktararak cüzdanınızı boşaltabilen zararlı komut dosyalarıdır. Genellikle meşru dApp’ler, NFT projeleri veya airdrop’lar gibi görünürler.
3. Dolandırıcılık ve Sosyal Mühendislik
Bunlar arasında kolay para kazanma vaatleri, sahte hediye kampanyaları, “pump-and-dump” dolandırıcılık yöntemleri ve cüzdan erişimi ya da kişisel bilgilerinizin istenildiği teknik destek dolandırıcılıkları yer almaktadır.
Kripto Varlıklarınızı Korumak İçin Pratik Adımlar
1. İzinleri Düzenli Olarak İptal Et (Revoke.cash)
Bir akıllı sözleşmeyle her etkileşime girdiğinizde (örneğin, merkeziyetsiz bir borsa veya NFT pazarı için token onaylarken), sözleşmeye belirli miktarda tokeninize erişim izni vermiş olursunuz. Sözleşmenin kötü niyetli olduğu ortaya çıkarsa veya güvenliği ihlal edilirse, bu izinler cüzdanınızdaki varlıklarınızı boşaltmak için kötüye kullanılabilir.
- Ne yapılmalı: Şu tür hizmetleri kullanın: Revoke.cash. Bu araç, akıllı sözleşmelere verdiğiniz tüm izinleri görüntülemenize ve iptal etmenize olanak tanır. Gereksiz veya şüpheli izinleri düzenli olarak kontrol edin ve iptal edin. Bu, riskleri en aza indirmek açısından son derece önemlidir.
2. Sistem ve Uygulamaların Zamanında Güncellenmesi
Güncel olmayan yazılımlar, saldırganlar için açık bir kapıdır. Güncellemeler genellikle bilinen güvenlik açıklarını kapatan güvenlik yamalarını içerir.
- Ne yapılmalı:
- İşletim Sistemi: İşletim sisteminizin (Windows, macOS, Linux) her zaman en son sürüme güncel olduğundan emin olun.
- Tarayıcılar: Tarayıcıların (Chrome, Firefox, Brave vb.) güncel sürümlerini kullanın; zira bu sürümler genellikle kimlik avına karşı yerleşik güvenlik özellikleri içerir.
- Kripto Cüzdanları ve Eklentiler: Yazılım cüzdanlarınızı (örneğin, MetaMask) ve bunlarla ilişkili tüm uzantıları düzenli olarak güncelleyin.
3. Portföy Çeşitlendirme: Tüm Yumurtalarınızı Tek Sepete Koymayın
Tüm kripto varlıklarınızı tek bir cüzdanda saklamak, bir siber saldırı veya kimlik avı saldırısı durumunda her şeyi kaybetme riskini artırır.
- Ne yapılmalı:
- Aktif Cüzdanlar: Bunları yalnızca günlük işlemler veya dApp etkileşimleri için öngörülen küçük tutarlarda kullanın.
- Soğuk Cüzdanlar / Donanım Cüzdanları: Büyük miktarlardaki varlıklarınızı uzun vadede saklamak için donanım cüzdanlarını (Ledger, Trezor) kullanın. Bu cüzdanlar, özel anahtarlarınızı çevrimdışı tutarak maksimum güvenlik sağlar.
- Varlıkların Ayrılması: Tek bir başarılı saldırının yol açabileceği olası zararı en aza indirmek için varlıklarınızı birden fazla cüzdan ve borsaya dağıtın.
4. Adresleri ve İmzalanmış İşlemleri Her Zaman Doğrulayın
Dolandırıcılar, kötü amaçlı yazılımlar kullanarak panodaki alıcının adresini değiştirebilir veya işlem bilgilerini tahrif edebilir.
- Ne yapılmalı:
- Tekrar kontrol edin: Para göndermeden önce alıcının adresini, özellikle de ilk ve son birkaç karakteri her zaman dikkatlice kontrol edin.
- İmza Taleplerini Oku: Cüzdanınızdaki tüm işlem imza taleplerini dikkatlice okuyun. Neyi onayladığınızı tam olarak anladığınızdan emin olun. Şüpheli talepler (örneğin, bilinmeyen bir sözleşme için “Tümüne Onay Ver” seçeneği), cüzdanınızı boşaltmaya yönelik olabilir.
5. İki Aşamalı Kimlik Doğrulama (2FA) Kullanın
2FA, borsalardaki ve hizmetlerdeki hesaplarınıza ek bir güvenlik katmanı sağlar.
- Ne yapılmalı: Mümkün olan her durumda 2FA’yı etkinleştirin; SMS yerine kimlik doğrulama uygulamalarını (Google Authenticator, Authy) kullanın, çünkü SMS ile yapılan 2FA, ele geçirilmeye karşı daha savunmasızdır.
6. Beklenmedik tekliflere ve mesajlara karşı dikkatli olun
Bir teklif gerçek olamayacak kadar iyi görünüyorsa, muhtemelen öyledir.
- Ne yapılmalı: "Ücretsiz" kripto para veya kolay kazanç vaat eden yabancılardan gelen mesajları dikkate almayın. Bilgileri resmi proje kanalları aracılığıyla doğrulayın.
7. Donanım Cüzdanları ve Hava Boşluklu İmzalama
Sıcak cüzdanlar (tarayıcı/mobil), kripto dünyasındaki en büyük saldırı yüzeyidir. Uzun vadeli varlıklarınızı bir donanım cüzdanı — Ledger, Trezor, Keystone veya BitBox — bu cihazlarda özel anahtarlar hiçbir zaman cihazın dışına çıkmaz. Yüksek tutarlı işlemler için şunları göz önünde bulundurun: hava boşluklu QR kodu aracılığıyla imza atma (Keystone, Coldcard, AirGap Vault); böylece güvenliği ihlal edilmiş bir bilgisayar bile anahtarları dışarı sızdıramaz.
- Donanım cüzdanları satın alın sadece üreticiden doğrudan kanallar — tedarik zincirine yönelik müdahale, gerçek bir saldırıdır.
- Cihazı temiz bir ortamda kurun; ilk kullanımdan önce donanım yazılımı imzalarını doğrulayın.
- Tohum cümlesini şuraya kaydedin: çelik yedekler (Cryptotag, Billfodl) — kağıt yanar ve rengi solar.
- Tohumu asla yazmayın, fotoğrafını çekmeyin veya dijital ortamda saklamayın — ne iCloud’da, ne Google Drive’da, ne şifre yöneticilerinde, ne de not uygulamalarında.
8. Ödenekleri Dikkatli Bir Şekilde Onaylayın
Cüzdanınızı boşaltanların tohumunuza ihtiyacı yoktur — tek ihtiyaçları, tokenlerinizi transfer etmelerine izin veren tek bir imzalı onaydır. Bir işlemi her imzaladığınızda, metni dikkatlice okuyun:
- İşlevi kontrol edin:
approve,setApprovalForAll,permit,increaseAllowancevesignOrdertoken taşıma hakları verin — devretme değil. - Harcama durumunu kontrol edin: Onaylayacağınız adres, bilinen bir protokol sözleşmesi olmalıdır — asla bir EOA (dışarıdan sahip olunan hesap) veya doğrulanmamış bir sözleşme olmamalıdır.
- Tutarını kontrol edin: eğer sınırsız olması istenirse (
2^256-1), kesin bir üst sınır belirlemeyi tercih ederler. - Zinciri kontrol edin: Bir kimlik avı sitesi, filtrelerinizi atlatmak için cüzdanınızı beklenmedik bir zincire geçirebilir.
- Kullanım Blockaid, ScamSniffer, ya da Cüzdan Koruyucu imzalamadan önce kötü niyetli onayları işaretlemek için eklentiler.
9. Alan Adı ve Yer İmleri Yönetimi
En başarılı kimlik avı saldırıları, bir URL yazdığınız veya bir bağlantıya tıkladığınız anı hedef alır. Savunma önlemleri:
- Yer imi Kullandığınız her cüzdan, borsa ve köprüde — hassas sitelerin alan adlarını asla elle yazmayın.
- Google’da sponsorlu/reklam sonuçlarından kaçının — kripto cüzdanı, borsa ve köprü ile ilgili sponsorlu anahtar kelimeler, en yaygın kimlik avı yöntemidir. Bunu şu yazımızda ele alıyoruz: Küresel Dolandırıcılıklara Zemin Hazırlayan Kayıt Kuruluşları.
- Fazladan karakterler içeren URL’lere güvenmeyin:
uniswap-app.org,metamask-extension.com,app-pancakeswap.io— Resmi alan adları basittir. - Sertifika Şeffaflığı yoluyla alan adlarını doğrulayın (crt.sh) — bir markanın taklidi için yeni düzenlenmiş bir sertifika, büyük bir tehlike işaretidir.
10. “Reklam” ve “İşyeri Görüntüleyici” Dolandırıcılıklarına Dikkat Edin
Kripto ekipleri, reklam veya ortaklık teklifleri kılığına girmiş iş dünyası tarzı sosyal mühendislik saldırılarına giderek daha fazla maruz kalıyor. Saldırgan, sizden bir “medya kiti görüntüleyici”, “reklam yöneticisi”, “Zoom istemcisi” veya “güvenli gizlilik anlaşması aracı” yüklemenizi ister — bu “araç” aslında bir bilgi hırsızlığı yazılımıdır. Bu yaklaşımın bir projenin fonlarını tamamen tükettiği bir vakayı belgeledik: $100K Returned — Adverting Scam Foiled.
- Doğrulanmamış üçüncü taraflarca sağlanan özel istemcileri, görüntüleyicileri veya "güncelleyicileri" asla yüklemeyin.
- Zoom, Telegram ve Discord için yalnızca resmi satıcıların sunduğu indirme bağlantılarını kullanın — sponsorlu arama sonuçlarını asla kullanmayın.
- Bir iş akışı özel bir istemci gerektiriyorsa, bunu varsayılan olarak tehdit olarak değerlendirin.
11. Kripto Ekipleri için Operasyonel Hijyen
- Özel amaçlı makine hazine işlemleri için — yeni işletim sistemi, donanım cüzdanı, minimum eklenti, e-posta/sosyal medya yok.
- Çoklu imza aylık yakma miktarından daha büyük herhangi bir hazine için (Safe, Squads vb.).
- Para çekme adreslerini beyaz listeye ekleme borsalarda; mümkün olduğunda zaman kilitleri kullanılmalıdır.
- Yedek operasyonel tohumlar M-of-N bölünmesi (Shamir’in Gizli Paylaşımı) ile coğrafi olarak dağınık çelik depolamada.
- Olay müdahale kılavuzu: Kimin kimi aradığını, hangi cüzdanların erişiminin iptal edileceğini ve denetim günlüklerinin nerede bulunduğunu önceden belgelendirin. Bir güvenlik ihlalinin ardından geçen ilk saat belirleyicidir.
12. Zaten Güvenlik İhlali Yaşamışsanız
- Para transferi hemen kötü amaçlı bir siteye erişmiş veya şüpheli bir işlemi onaylamış herhangi bir cüzdandan. Hız, kusursuz bir süreçten daha önemlidir.
- Aşağıdaki adreste tüm token onaylarını iptal edin: revoke.cash temiz bir cihazdan.
- Güvenliği ihlal edilmiş cihazı tüm ağlardan ayırın; o cihazda erişilen tüm kimlik bilgilerini yenileyin; işletim sistemini temiz bir kurulum ortamından yeniden yükleyin.
- Kanıtları saklayın: disk görüntüsü, tarayıcı geçmişi, işlem hash değerleri — bunlar, olay raporu ve olası bir kurtarma işlemi için gerekli olacaktır.
- Şu kişiye rapor verin: @PhishDestroy_bot ve iletişime geçin SEAL 911 acil durumlarda güvenlik konusunda profesyonel yardım almak için.
- Olay müdahale kılavuzumuzun tamamını okuyun: Acil Önlem — bir siber saldırı sonrasında ne yapılmalı?.
Güvenliği Artırmaya Yönelik Ek Kaynaklar
Bilgi sahibi olmak, işin yarısıdır. Önerilen kaynaklar:
- Güvenlik İttifakı — Kötü Amaçlı Yazılımlar — kripto para kullanıcılarını hedef alan kötü amaçlı yazılım ailelerine ilişkin derinlemesine analiz.
- PhishDestroy yok etme listesi — 130.000'den fazla aktif kimlik avı/dolandırıcılık alan adı; bunları DNS'inize, güvenlik duvarınıza veya tarayıcınıza entegre edin.
- @PhishDestroyAlerts — yeni dolandırıcılık altyapılarına ilişkin gerçek zamanlı uyarılar.
- Bir Kaldırmanın Anatomisi — PhishDestroy’un kimlik avı altyapısını nasıl bozduğu.
- Siber Suçlarla Mücadeleye Yönelik Açık Kaynaklı Araçlar — eksiksiz bir OSINT araç seti.
- 150'den Fazla Sahte Mozilla Eklentisi Soruşturması — Kötü amaçlı uzantıların tohumları nasıl topladığı.
"PhishDestroy olarak, dijital dünyada güvende kalabilmeniz için gerekli araçları ve bilgileri size sunmaya çalışıyoruz. Unutmayın, uyanıklığınız sizin ilk ve en iyi savunma hattınızdır."
Kripto varlıklarınızı korumak, sürekli dikkat ve proaktif önlemler gerektirir. Bu önerileri uygulayarak, dolandırıcıların kurbanı olma riskini önemli ölçüde azaltacak ve merkeziyetsiz finans dünyasında daha güvenli bir şekilde yol alabileceksiniz.

