Kripto Oltalama (Phishing) Saldırılarından Korunma
Kriptoda en büyük tehlike çoğu zaman fiyatın düşmesi değil, paranızı bir saniyede başkasına imzalattıran oltalama tuzaklarıdır. Bu rehberde phishing saldırılarının nasıl çalıştığını ve onları daha tıklamadan nasıl fark edeceğinizi adım adım öğreneceksiniz.
Kripto dünyasında insanların parasını kaybetmesinin en yaygın nedeni, çoğu zaman sanıldığı gibi yanlış bir coin seçmek değildir. Çok daha sık ve çok daha acımasız olan şey, oltalama (phishing) saldırılarıdır. Saldırgan size sahte bir sayfa, sahte bir e-posta ya da sahte bir destek hesabı gösterir; siz farkında olmadan ya şifrenizi, ya kurtarma kelimelerinizi (seed phrase), ya da cüzdanınızdan para çeken bir işlemi onaylarsınız. Tek bir yanlış tıklama, yılların birikimini saniyeler içinde silebilir.
İyi haber şu: oltalama saldırıları neredeyse her zaman aynı birkaç kalıbı kullanır. Bu kalıpları tanıdığınızda, saldırıyı daha tıklamadan fark edecek bir refleks geliştirirsiniz. Bu yazıda phishing'in nasıl çalıştığını, en sık görülen tuzakları ve her gün uygulayabileceğiniz pratik korunma alışkanlıklarını ele alıyoruz. Hatırlatalım: bu içerik bir güvenlik eğitimidir, yatırım tavsiyesi değildir.
Phishing (Oltalama) Tam Olarak Nedir?
Phishing, bir saldırganın güvendiğiniz bir kurum ya da kişi gibi davranarak sizden gizli bilgilerinizi ya da bir onay almaya çalışmasıdır. Kelimenin kökeni İngilizce "fishing" yani balık tutmaktan gelir: saldırgan suya bir yem atar (sahte bir mesaj), siz oltaya geldiğinizde de kancayı çeker. Kriptoda bu yemler genellikle şu üç şeyden birini hedefler:
- Giriş bilgileriniz: Borsa hesabınızın e-posta ve şifresi, hatta iki adımlı doğrulama (2FA) kodunuz.
- Kurtarma kelimeleriniz (seed phrase): Cüzdanınızın 12 veya 24 kelimelik gizli anahtarı. Bunu ele geçiren kişi cüzdanınızın tam sahibi olur.
- İşlem onayınız: Cüzdanınızı sahte bir siteye bağlayıp, görünüşte zararsız bir "bağlan" ya da "talep et" düğmesiyle aslında varlıklarınızı çeken bir işlemi imzalatması.
Kuralın özü tek cümlede: Kurtarma kelimelerinizi (seed phrase) hiçbir koşulda, hiç kimseye, hiçbir siteye yazmayın. Gerçek hiçbir borsa, hiçbir cüzdan, hiçbir destek ekibi bunu sizden istemez. İsteyen herkes dolandırıcıdır.
En Sık Görülen Kripto Oltalama Tuzakları
1. Sahte borsa ve cüzdan siteleri
Saldırganlar, tanıdığınız bir borsanın ya da cüzdanın görünümünü birebir kopyalar. Tek fark genellikle adres çubuğundaki alan adında gizlidir: harf değişimi (binance yerine binarce), fazladan bir kelime (binance-giris.com) ya da farklı bir uzantı (.net, .io yerine garip bir son ek). Siz gerçek site sandığınız bu sayfaya şifrenizi girersiniz; saldırgan da o bilgiyi anında gerçek sitede kullanır.
2. Taklit e-postalar ve "acil işlem" mesajları
"Hesabınız askıya alındı", "Şüpheli giriş tespit edildi", "Hemen doğrulama yapın yoksa varlıklarınız dondurulacak" gibi mesajlar klasik phishing yemidir. Amaç sizi panikletip düşünmeden tıklatmaktır. Mesajdaki bağlantı sizi sahte bir giriş sayfasına götürür. Unutmayın: aciliyet hissi, dolandırıcılığın en güvenilir işaretidir.
3. Sahte cüzdan bağlantısı ve imza tuzakları
Web3 dünyasında cüzdanınızı sitelere bağlarsınız. Dolandırıcılar, "ücretsiz airdrop", "NFT mint", "ödül talep et" gibi cazip başlıklarla sizi sahte bir siteye çeker. Cüzdanınızı bağladığınızda önünüze çıkan onay penceresi aslında varlıklarınıza sınırsız erişim izni (approve) verir ya da bir varlığı doğrudan saldırgana gönderir. İmzaladığınız şeyin ne olduğunu okumadan onaylamak, boş bir çeke imza atmaya benzer.
4. Sahte destek hesapları ve özelden gelen "yardım"
Bir sorununuzu sosyal medyada paylaştığınızda, dakikalar içinde "resmî destek" gibi görünen bir hesap size özelden yazabilir. Sizi bir "doğrulama" sitesine yönlendirir ya da kurtarma kelimelerinizi ister. Gerçek destek ekipleri size asla önce özelden yazmaz ve asla gizli anahtar istemez.
5. Sahte uygulamalar ve tarayıcı eklentileri
Resmî mağaza dışından indirilen cüzdan uygulamaları ya da sahte tarayıcı eklentileri, girdiğiniz her şeyi saldırgana iletecek şekilde tasarlanmış olabilir. Bu yüzden yazılımları yalnızca resmî kaynaklardan indirmek hayati önemdedir.
Bir Sayfanın Sahte Olduğunu Nasıl Anlarsınız?
Tıklamadan önce birkaç saniyenizi ayırmak çoğu saldırıyı durdurur. Şu kontrol listesini bir alışkanlık hâline getirin:
- Adres çubuğunu harf harf okuyun. Alan adında en ufak bir tutarsızlık (fazla harf, tire, garip uzantı) varsa kapatın.
- Bağlantıya gelişinizi sorgulayın. Siteye bir e-postadaki, reklamdaki ya da özel mesajdaki bağlantıdan mı geldiniz? Öyleyse şüphelenin. Adresi kendiniz, daha önce kaydettiğiniz yer imlerinden açın.
- Aciliyet ve ödül vaadine dikkat edin. "Son 5 dakika", "garantili kazanç", "bedava token" gibi ifadeler kırmızı bayraktır. Gerçekçi olamayacak kadar iyi görünen şey, gerçek değildir.
- İmzaladığınız işlemi okuyun. Cüzdanınız bir onay penceresi açtığında, hangi sözleşmeye, ne kadar izin verdiğinizi anlamadan onaylamayın.
- Yazım ve dil hatalarına bakın. Resmî kurumların mesajları genelde özenlidir; bozuk Türkçe ve garip çeviriler uyarı işaretidir.
Yeni başlayanların büyük kısmı bu refleksleri henüz kazanmadığı için tuzağa düşer. Bu konuyu daha geniş ele aldığımız Yeni Başlayanların Yaptığı 10 Kripto Hatası ve Çözümü yazımız, güvenlik alışkanlıklarını sıfırdan kurmak için iyi bir tamamlayıcıdır.
Kendinizi Korumak İçin Pratik Alışkanlıklar
Phishing'e karşı en güçlü savunma pahalı bir yazılım değil, doğru alışkanlıklardır. Aşağıdakileri günlük rutininize katın:
- Kurtarma kelimelerini asla dijital ortama yazmayın. Ekran görüntüsü almayın; e-postaya, nota ya da buluta kaydetmeyin. Fiziksel olarak kâğıda yazıp güvenli bir yerde saklayın.
- İki adımlı doğrulamayı (2FA) açın. Mümkünse SMS yerine bir doğrulama uygulaması (authenticator) kullanın; SMS kodları ele geçirilmeye daha açıktır.
- Önemli siteleri yer imine ekleyin. Borsanıza ve cüzdanınıza her zaman kendi kaydettiğiniz yer iminden girin, arama sonuçlarındaki reklamlara tıklamayın.
- Donanım cüzdanı düşünün. Daha büyük miktarlar için, gizli anahtarı internete hiç bağlanmadan saklayan bir donanım cüzdanı ek bir katman ekler.
- Cüzdan izinlerini düzenli temizleyin. Eskiden bağlandığınız sitelere verdiğiniz erişim izinlerini (approvals) belirli aralıklarla gözden geçirip kaldırın.
- Acele etmeyin. Sizi hızlı karar vermeye zorlayan her şey şüphelidir. Birkaç dakika beklemek, çoğu saldırıyı boşa çıkarır.
Hızlı karşılaştırma: Gerçek mi, sahte mi?
| Durum | Gerçek davranış | Oltalama işareti |
|---|---|---|
| Kurtarma kelimesi | Hiçbir zaman sorulmaz | "Doğrulama için seed'inizi girin" |
| Destek iletişimi | Siz başvurursunuz | Size önce özelden yazar |
| Aciliyet | Makul süre verir | "Hemen yap yoksa kaybedersin" |
| Bağlantı | Resmî, doğru alan adı | Harf değişikliği, tire, garip uzantı |
Güvenlik bilincini geliştirmek, büyük paralar harcamayı gerektirmez. Küçük bir bütçeyle ve doğru alışkanlıklarla başlamanın mümkün olduğunu Az Parayla Kriptoya Başlamak Mümkün mü? Bilmeniz Gerekenler yazımızda anlatıyoruz. Önce güvenliği öğrenip sonra küçük adımlarla ilerlemek, en sağlıklı yoldur.
Eğer Bir Tuzağa Düştüğünüzü Fark Ederseniz
Panik en kötü danışmandır, ama hızlı hareket etmek fark yaratır. Bir phishing sitesine bilgi girdiğinizi ya da şüpheli bir işlem imzaladığınızı fark ederseniz:
- Hâlâ erişiminiz varsa, varlıklarınızı yeni ve temiz bir cüzdana taşıyın.
- Borsa şifrenizi hemen değiştirin ve 2FA'yı yeniden kurun.
- O cüzdanın bağlı olduğu sitelere verdiğiniz izinleri iptal edin.
- Kurtarma kelimeleriniz açığa çıktıysa, o cüzdanı kalıcı olarak terk edin; aynı seed'i tekrar kullanmayın.
Ne yazık ki blokzincirinde gönderilen bir işlem geri alınamaz. Bu yüzden korunmanın tek gerçek yolu, saldırı gerçekleşmeden önce farkında olmaktır. Piyasayı ve grafikleri okurken de aynı şüpheci gözü taşımak işinize yarar; bu konuda Kripto Grafiği Nasıl Okunur? Temel Mum ve Trend Bilgisi yazımız temel bir bakış kazandırır.
Önce güvenlik, sonra kripto.
Oltalama tuzaklarını tanımak ve kendi güvenlik alışkanlıklarınızı sıfırdan kurmak istiyorsanız, 30 Günlük Güvenli Temel programı tam size göre. Balık vermiyoruz; kendinizi korumayı öğretiyoruz.
Programa BaşlaSonuç olarak phishing, teknik bir dehanın değil, bir anlık dikkatsizliğin sonucudur. Adres çubuğunu okumak, aciliyet baskısına direnmek ve kurtarma kelimelerinizi kimseyle paylaşmamak; bu üç refleks, kripto yolculuğunuzdaki en değerli korumanızdır. Unutmayın, bu içerik bir eğitim rehberidir ve yatırım tavsiyesi değildir; vereceğiniz her karar sizin sorumluluğunuzdadır.