Kripto phishing, geek köşesinden çıkıp tam anlamıyla küresel bir başağrısına dönüştü. Siber güvenlik firması Kaspersky'nin 2025 yılına ait raporuna göre, kripto ile ilgili phishing tespitleri 2023 yılına göre %83.4 oranında artış gösterdi. Bu, sizin, büyükannenizin veya arkadaşınızın çocuğunun hepsinin hedef olabileceği anlamına geliyor. Dolandırıcılar artık geniş bir ağ kuruyor çünkü tek bir tıklama bir cüzdanı boşaltabilir.

Birisi, güncel kripto para fiyatlarını kontrol ederken giriş yapar veya bir işlem imzalarsa, dikkatlerini dağıtıp savunmalarını düşürebilir. Fiyat grafiklerinin, bildirimlerin ve heyecanların bir karmaşası, cüzdanları acil hissettirir. Ve aciliyet, dolandırıcıların en iyi dostudur. 2025 yılına ait son bir kripto güvenlik olayları özetinde, bildirilen tüm vakaların yaklaşık %40.8'inin sosyal mühendislik dolandırıcılıkları olduğu görülmüştür; teknik hackler ise %33.7'yi oluşturuyordu.

Kripto Phishing Genellikle Nasıl Görünür?

Sahte Cüzdanlar, Sahte Siteler

Kitapta en eski numaralardan biri: gerçek bir cüzdan veya hizmet gibi davranan bir phishing sitesi veya uygulaması. Gerçek cüzdanların veya merkeziyetsiz uygulama (dApp) ön yüzlerinin klonları, en yaygın kripto phishing vektörleri arasındadır. Özel anahtarınızı veya tohum ifadenizi yapıştırdığınızda, o cüzdan onların olur. Oyun bitti.

Daha yeni, daha sinsi bir versiyonu: onay phishing. Bu dolandırıcılıkta, sahte bir dApp veya token düşüşü, normal bir işlem gibi görünen bir şeyi onaylamanızı ister, ancak bu onay aslında dolandırıcılara fonlarınıza sınırsız erişim verir. Araştırmacılar bunu Ethereum gibi ağlar için büyük bir tehdit olarak tanımladı.

Gizli İşlem Dolandırıcılıkları

Kripto güvenliğinde en ilginç bulgulardan biri, 2024 yılında yapılan bir yük bazlı işlem phishing çalışmasından geldi. Bu saldırı sahte giriş sayfalarına dayanmaz. Bunun yerine, kullanıcıları zararsız görünen bir işlemi imzalamaya kandırır, ancak aslında bu, kötü niyetli bir akıllı sözleşme çağrısıdır. 300 günden fazla blok zinciri verisi, 130,637 phishing işlemi ortaya çıkardı ve bu işlemler 341.9 milyon ABD doları kayba neden oldu.

Yani, cüzdan arayüzünüz sağlam görünse bile, neyi imzaladığınızı kontrol etmeden bir sözleşmeyi imzalamak, tohum ifadenizi teslim etmek kadar kötü olabilir.

Adres Zehirlenmesi – Fonları Kopya Adrese Göndermek

Bu oldukça zekice bir yöntem. Buna blok zinciri adres zehirlenmesi denir. Saldırganlar, meşru alıcılar gibi görünmek için benzer cüzdan adresleri (ekstra sıfırlar, değiştirilmiş harfler, ince değişiklikler) üretirler. Ardından, bu adresleri işlem geçmişinize veya sohbetinize gizlice sokarlar, böylece bir adresi manuel olarak kopyalayabilir ve yine de fonları yanlış yere gönderebilirsiniz.

Bir çalışmada, saldırganlar adresleri başarıyla zehirleyerek, on milyonlarca kurban arasında en az 83.8 milyon ABD doları kayba neden oldular. Bu, kendi kopyala-yapıştır işiniz bile olsa, her seferinde adres dizelerini doğrulamanız gerektiğinin önemli bir hatırlatıcısıdır.

Neden Sürekli Bunun İçine Düşüyoruz?

  • Baskı altındaki insanlar detayları kontrol etmede kötüleşir – 2024 yılına ait bir sektör anketi, sosyal mühendislik'in en büyük tehdit vektörü olduğunu, olayların neredeyse %41'ini oluşturduğunu, tamamen teknik saldırıların ise yaklaşık üçte birini oluşturduğunu doğruladı.
  • Dolandırıcılar aceleye getirir – Fiyatlar hızlı bir şekilde değiştiğinde veya harika bir yeni token düşüşü ortaya çıktığında, dürtüsellik devreye girer.
  • Pek çok cüzdanın kullanılabilirliği kötü – 2025 yılında yapılan 53 popüler Ethereum cüzdanı değerlendirmesinde, kullanıcıların bilinen phishing adreslerine fon göndermeye çalıştıklarında yalnızca üçü açıkça uyarılar verdi. Bu, birçok cüzdanın temel güvenlik kontrollerini başaramadığını gösteriyor.

İşleyen Bir Çerçeve

Bunu bir eylemden önce basit bir test olarak düşünün, buna 3 Saniyelik Cüzdan Kontrolü diyebilirsiniz:

  1. Gönderen & Alan Adı – Bağlantı, kendinizin yazdığı bir alan adından mı geliyor?
  2. İstenen Eylem – Sizden bir tohum ifadesi, tam cüzdan onayı veya maksimum izin mi isteniyor?
  3. Adres Doğruluğu – Hedef adresi manuel olarak yazdınız mı ve her karakteri iki kez kontrol ettiniz mi?

Eğer herhangi bir noktada tereddüt ederseniz, durun. Yeniden değerlendirin. Çıkış yapın. İki kez kontrol edin. Bir arkadaşınızı arayın.

Kripto Olgunlaştıkça, Dolandırıcılıklar da Olgunlaşıyor

Kaspersky'nin son raporu, mobil bankacılık kötü amaçlı yazılımlarında ve kripto phishing'de keskin artışlar kaydetti. Dolandırıcılıklar artık şık hacklerden daha çok psikolojik numaralarla ilgili: klonlanmış siteler, sahte uygulamalar, sosyal baskı ve akıllıca sözleşme sarma.

Bu bağlamda, kripto endüstrisi liderlerinin yorumları anlam kazanıyor. Bize, benimsemenin sorumlulukla geldiğini hatırlatıyorlar. Güvenlik sadece şifreleme veya özel anahtarlarla ilgili değildir. Alışkanlıklarla ilgilidir.

Binance CEO'su Richard Teng şöyle dedi: Küresel benimseme genellikle bir domino ile başlar. Kripto, dünyanın en büyük emeklilik sistemlerinden birinde meşru bir finansal araç olarak tanınmaya başlandığında, soru artık ne zaman değil, ne zaman. Bunu aklınızda bulundurun. Kripto ana akıma geçtikçe, dolandırıcılar daha yaratıcı olacak.

Binance’ın Küresel FIU Başkanı Nils Andersen‑Röed, güvenlik ekipleri, düzenleyiciler ve kullanıcılar arasında proaktif işbirliğine duyulan ihtiyacı vurguladı. Bu, eğitimin ve dikkatli olmanın en iyi zırhınız olmaya devam ettiğini pekiştiriyor.

İçgüdünüze Güvenin

Kripto phishing, süper bilgisayara veya büyük teknik becerilere ihtiyaç duymaz. İki şeye dayanır: insan dikkatsizliği ve aciliyet. Beklenmedik her bağlantıyı veya tohum ifadeleri ya da geniş izin taleplerini bir kırmızı bayrak olarak değerlendirirseniz, yaygın dolandırıcılıkların %80-90'undan kaçınabilirsiniz. Anahtarlarınızı cüzdanınızı koruduğunuz gibi koruyun. Bir şey garip geliyorsa, uzaklaşın veya iki kez kontrol edin. Dikkatli olun, şüpheci kalın ve her tıklamayı bir ücretli sınav sorusu gibi değerlendirin.

(Fotoğraf: Kaptured by Kasia Unsplash'ta)