Kripto para dünyasında varlıklarınızı korumak için sosyal mühendislik, honeypot ve rug pull gibi gelişmiş dolandırıcılık yöntemlerini tanımanız hayati önem taşır. Bu derinlemesine rehberde, soğuk cüzdan kullanımı ve 2FA gibi kritik güvenlik katmanlarıyla dijital varlıklarınızı nasıl profesyonelce güvence altına alacağınızı öğreneceksiniz.
Sosyal Mühendislik Yöntemleri
Sosyal mühendislik, teknik bir açıktan ziyade doğrudan insan psikolojisini hedef alan bir saldırı türüdür. Dolandırıcılar, kurbanın güvenini kazanmak veya onlarda bir panik duygusu yaratmak için kendilerini bir borsa yetkilisi, teknik destek uzmanı veya tanınmış bir yatırımcı gibi tanıtırlar. Bu yöntemde amaç, kullanıcının kendi rızasıyla gizli bilgilerini (özel anahtarlar, şifreler) paylaşmasını sağlamaktır.
Özellikle “acil durum” senaryoları kurgulanır. Örneğin, “Hesabınız askıya alındı, hemen bu linke tıklayarak bilgilerinizi doğrulayın” şeklinde gelen bir e-posta, sosyal mühendisliğin en yaygın örneğidir. Dolandırıcılar, kurbanın mantıklı düşünmesini engellemek için zaman baskısı kurar. Hiçbir resmi kurum veya borsa, sizden özel anahtarınızı (seed phrase) veya şifrenizi asla talep etmez; bu altın kuralı unutmamak en büyük savunmanızdır.
Sahte Destek Hesapları
Kripto para ekosisteminde bir sorun yaşadığınızda veya bir projeye dair soru sorduğunuzda, karşınıza çıkan ilk “yardımsever” kişi genellikle bir dolandırıcıdır. Sahte destek hesapları, borsaların veya popüler cüzdan uygulamalarının (metamask, Trust Wallet gibi) resmi logolarını ve isimlerini birebir kopyalayarak profesyonel bir görünüm sergilerler. Bu hesaplar, genellikle sizin bir platformda paylaştığınız şikayetin altına yorum yaparak veya doğrudan mesaj (DM) göndererek iletişime geçerler.
Bu hesapların temel hedefi, sizi sahte bir “destek formu” veya “senkronizasyon sitesi”ne yönlendirmektir. Bu siteler cüzdan kelimelerinizi girmenizi ister. Unutmayın, gerçek bir teknik destek ekibi asla size ilk yazan taraf olmaz ve işlemlerinizi bir web sitesine cüzdan kelimelerinizi girerek çözmenizi talep etmez. Herhangi bir destek almadan önce ilgili platformun resmi web sitesindeki “Yardım” bölümünü manuel olarak ziyaret etmelisiniz.
Telegram ve Twitter Tuzakları
Telegram ve Twitter (X), kripto dolandırıcılarının en yoğun faaliyet gösterdiği alanlardır. Telegram gruplarına eklendiğinizde, grubun admini gibi görünen kişiler size özelden yazarak “özel bir yatırım fırsatı” veya “teknik bir hata çözümü” sunabilir. Twitter’da ise popüler projelerin altına atılan ve botlar tarafından desteklenen sahte çekiliş (giveaway) tweetleri oldukça tehlikelidir.
Twitter’daki onaylı hesap (mavi tik) sistemi artık güvenilir bir kriter değildir, çünkü dolandırıcılar bu rozetleri kolayca satın alabilmektedir. Bir projenin ismine çok benzer (örneğin “Binance” yerine “Binnance”) kullanıcı adları kullanarak insanları yanıltırlar. Bu tuzaklardan korunmak için, etkileşime geçtiğiniz hesabın takipçi sayısını, katılım tarihini ve paylaştığı linklerin resmi alan adıyla uyuşup uyuşmadığını mutlaka kontrol etmelisiniz.
Honeypot (Satılamayan Token) Nedir?
Honeypot, kelime anlamıyla “bal küpü” demektir ve yatırımcıyı içeri çeken ancak dışarı çıkmasına izin vermeyen bir akıllı sözleşme dolandırıcılığıdır. Bu yöntemde dolandırıcı, bir token oluşturur ve bu tokenın fiyatının sürekli yükselmesini sağlar. Yatırımcılar grafiklerin sürekli yukarı gittiğini görünce (çünkü kimse satamamaktadır) büyük bir “fırsat” olduğunu düşünerek alım yaparlar.
Ancak bu tokenların akıllı sözleşme kodunda, sadece belirli cüzdanların (genellikle dolandırıcının cüzdanı) satış yapabilmesine izin veren gizli bir fonksiyon bulunur. Aşağıdaki tablo, Honeypot projeleri ile yasal projeler arasındaki farkları özetlemektedir:
| Özellik | Yasal Proje | Honeypot Projesi |
|---|---|---|
| Satış İşlemi | Herkes tarafından yapılabilir. | Sadece geliştirici yapabilir. |
| Fiyat Grafiği | Doğal iniş ve çıkışlar içerir. | Neredeyse sadece yeşil mumlar vardır. |
| Sözleşme Kodu | Genellikle denetlenmiş ve açıktır. | Karmaşık, gizli fonksiyonlar içerir. |
Rug Pull (Halı Çekme) Belirtileri
Rug pull, bir projenin geliştiricilerinin, yatırımcılardan toplanan likiditeyi aniden çekerek projeyi terk etmesi ve token değerini sıfıra indirmesidir. Genellikle merkeziyetsiz borsalarda (dex) gerçekleşir. Geliştiriciler, başlangıçta büyük bir reklam kampanyasıyla güven oluşturur, ancak arka planda likidite havuzunun anahtarlarını ellerinde tutarlar.
Bir projenin Rug Pull olma potansiyelini anlamak için şu belirtilere dikkat etmelisiniz:
- Kilitlenmemiş Likidite: Likidite havuzunun belirli bir süre için kilitli olmaması en büyük risktir.
- Cüzdan Dağılımı: Token arzının %50’den fazlasının birkaç cüzdanda toplanmış olması tehlike arz eder.
- Anonim Ekip: Ekip üyelerinin kimliklerinin belirsiz olması ve geçmiş başarılarının bulunmaması bir soru işaretidir.
- Yetersiz Yol Haritası: Sadece “fiyat odaklı” vaatler veren, teknolojik derinliği olmayan projelerden uzak durulmalıdır.
Dusting Attack
Dusting attack (toz saldırısı), cüzdanınıza çok küçük miktarlarda (birkaç kuruş değerinde) tanınmayan kripto paraların gönderilmesiyle başlar. Bu saldırının amacı paranızı çalmak değil, cüzdan sahibinin kimliğini ve hareketlerini analiz etmektir. Gönderilen bu küçük miktarlar (“dust”), siz onları başka bir adrese gönderdiğinizde veya bozdurduğunuzda diğer işlem verilerinizle birleşerek anonimliğinizi bozar.
Saldırganlar, bu yöntemle büyük cüzdan sahiplerini tespit edip onları daha sonra sosyal mühendislik veya phishing (oltalama) saldırıları için hedef alırlar. Cüzdanınızda tanımadığınız, kaynağı belirsiz küçük miktarda bir token görürseniz, bu tokenları kesinlikle hareket ettirmeyin, satmaya çalışmayın veya başka bir cüzdana transfer etmeyin. Onları olduğu gibi bırakmak, saldırganın amacına ulaşmasını engelleyecektir.
Sahte Airdrop Siteleri
Airdrop, yeni projelerin tanıtım amacıyla ücretsiz token dağıtmasıdır; ancak dolandırıcılar bu popüler yöntemi birer tuzak olarak kullanır. Sahte airdrop siteleri, “Bedava 5000 USDT kazandınız” veya “Erken erişim için cüzdanınızı bağlayın” gibi iddialı sloganlarla sizi web sitelerine çekerler. Bu sitelere cüzdanınızı bağladığınızda, aslında cüzdanınızdaki tüm varlıkların harcanması için bir “onay” (approval) vermiş olursunuz.
Modern cüzdan arayüzleri bu durumu engellemek için uyarılar verse de, kullanıcılar aceleyle bu onayları onaylayabilmektedir. Bir airdrop’un gerçek olup olmadığını anlamak için projenin resmi CoinMarketCap veya CoinGecko sayfasındaki sosyal medya linklerini takip edin. Eğer proje gerçekten bir airdrop yapıyorsa, bu mutlaka resmi kanallarından duyurulacaktır.
Borsaların Resmi Duyurularını Teyit Etme
Kripto para borsaları hakkındaki sahte Haberler, piyasada manipülasyon yaratmak veya kullanıcıları sahte sitelere yönlendirmek için sıkça kullanılır. “X borsası şu coin’i listeleyecek” veya “Y borsası bakım nedeniyle tüm çekimleri durdurdu” gibi haberler, resmi bir kaynaktan doğrulanmadığı sürece ciddiye alınmamalıdır. Dolandırıcılar, haber sitelerinin arayüzlerini taklit ederek sahte makaleler yayınlayabilirler.
Doğrulama işlemi için her zaman şu adımları izleyin:
- Borsanın kendi resmi web sitesindeki “Duyurular” (Announcements) sekmesini kontrol edin.
- Borsanın onaylı (mavi tikli ve yüksek takipçili) resmi Twitter hesabına bakın.
- Resmi Telegram duyuru kanallarını inceleyin.
- Şüpheli bir bilgi varsa, doğrudan borsanın canlı destek hattına bağlanarak durumu sorun.
Şüpheli Link Kontrolü
Dijital dünyada tıkladığınız her link, varlıklarınız için bir risk taşıyabilir. Phishing (oltalama) linkleri, gerçek sitelerin alan adlarına çok benzeyen (örneğin binance.com yerine bīnance.com gibi özel karakterli) adresler kullanır. Bu sitelere girdiğinizde karşınıza çıkan arayüz, orijinaliyle birebir aynıdır ve girdiğiniz her bilgi anında saldırganın eline geçer.
Link güvenliğini sağlamak için şu yöntemleri kullanmalısınız:
HTTPS: Sitenin adres çubuğunda kilit ikonu olduğundan emin olun, ancak bunun tek başına yeterli olmadığını (dolandırıcıların da SSL sertifikası alabildiğini) unutmayın.
Bookmark: Sık kullandığınız borsa ve cüzdan sitelerini tarayıcınızın yer imlerine ekleyin ve her seferinde oradan giriş yapın.
URL Tarayıcılar: Şüpheli gördüğünüz bir linki tıklamadan önce “VirusTotal” gibi çevrimiçi araçlarla taratarak güvenliğini kontrol edin.
2FA (İki Faktörlü Doğrulama) Önemi
İki faktörlü doğrulama (2FA), şifreniz ele geçirilse bile hesabınızın güvende kalmasını sağlayan en kritik güvenlik katmanıdır. Sadece bir şifreye sahip olmak, tek bir savunma hattına sahip olmak demektir. 2FA aktif edildiğinde, hesaba giriş yapabilmek veya çekim işlemi gerçekleştirebilmek için fiziksel olarak sahip olduğunuz bir cihazdan üretilen geçici bir koda ihtiyaç duyulur.
Birçok kullanıcı 2FA kurulumunu “zahmetli” bulduğu için ihmal eder, ancak bu ihmal genellikle büyük kayıplarla sonuçlanır. Kripto varlıklarınızın bulunduğu her platformda (borsalar, e-posta adresleri, cüzdanlar) mutlaka en güçlü 2FA yöntemini etkinleştirmelisiniz. Şifrenizi ne kadar karmaşık yaparsanız yapın, 2FA olmadan hesabınız her zaman risk altındadır.
SMS yerine Authenticator
Pek çok kişi 2FA olarak SMS doğrulamayı tercih etse de, bu yöntem kripto dünyasında yeterince güvenli kabul edilmez. “SIM Swapping” (SIM kart kopyalama) saldırılarıyla dolandırıcılar, telefon numaranızı kendi cihazlarına taşıyarak size gelen SMS kodlarını ele geçirebilirler. Bu, özellikle sosyal medya üzerinden toplanan kişisel bilgilerle gerçekleştirilen gelişmiş bir saldırı türüdür.
Bunun yerine, Google Authenticator veya Microsoft Authenticator gibi uygulama tabanlı çözümler ya da YubiKey gibi fiziksel güvenlik anahtarları kullanılmalıdır. Bu yöntemler cihazın kendisine bağlıdır ve internet üzerinden ele geçirilmeleri çok daha zordur. Uygulamayı kurarken size verilen “Yedekleme Kodu”nu mutlaka fiziksel bir kağıda not edip güvenli bir yerde saklayın; zira telefonunuzu kaybederseniz hesabınıza erişmenin tek yolu budur.
Soğuk Cüzdan Kullanımı
Kripto para güvenliğinin zirve noktası soğuk cüzdan (cold wallet) kullanımıdır. Sıcak cüzdanlar (borsa hesapları veya mobil cüzdanlar) sürekli internete bağlı oldukları için siber saldırılara açıktır. Soğuk cüzdanlar ise özel anahtarlarınızı internetle hiçbir şekilde temas etmeyen fiziksel bir donanım içerisinde saklar. Bir işlem yapmak istediğinizde, fiziksel cihaz üzerinden manuel onay vermeniz gerekir.
Uzun vadeli yatırımlarınız için soğuk cüzdan kullanmak, borsaların hacklenme riskine veya bilgisayarınıza sızabilecek casus yazılımlara karşı sizi korur. Ledger veya Trezor gibi bilinen markaların cihazlarını alırken mutlaka doğrudan üreticinin kendi web sitesinden sipariş vermelisiniz. İkinci el veya yetkisiz satıcılardan alınan cihazların içine önceden kötü amaçlı yazılım yerleştirilmiş olabilir. Unutmayın: “Not your keys, not your coins” (Anahtarlar sizde değilse, coinler sizin değildir).