Kripto yemleme saldırıları, siber suçluların kripto para birimini (dijital varlıklar) çalması için en kazançlı yöntemlerden birine dönüşüyor. Bu saldırılar, en temkinli kullanıcıların bile düşebileceği noktaya kadar gelişiyor. Çünkü bizler, kripto topluluğu üyeleri olarak, para taşırken başka kimseye güvenmiyoruz, ekstra ihtiyatlı olmak bizim için büyük önem taşıyor. Tüm saldırı türlerini özetlemek zor olsa da, en sık kullanılan teknikleri ve paranızı proaktif bir şekilde nasıl koruyabileceğinizi listeleyeceğiz.

Yemlemek, kötü niyetli bir varlığın ("hacker"), kullanıcıların giriş bilgilerini, şifreleri ve kredi kartı numaraları gibi özel bilgilerini açığa çıkarmak için, sosyal mühendisliği saygın bir kaynak olarak maskelenmek için kullandığı sahte bir uygulamadır. Kimlik avı bugün, kripto para dünyasında özellikle büyük bir tehdit oluşturan en yaygın kullanılan siber saldırılardan biri olarak kabul edilmektedir. Önümüzdeki birkaç paragrafta, diğer kimlik avı girişimlerine benzer, ancak yalnızca kripto paralar elde etmek için bilgilerinizi çalmak istediklerinden farklı olan en yaygın kripto kimlik avı saldırılarını ortaya koyacağız.

Yemleme, en çok kullanılan siber saldırıdır

Çoğu zaman, kimlik avı saldırıları, güvenilir bir gönderenden görünen sahte e-postalardan, indirilebilir kötü amaçlı yazılımlara ve web siteleri dolandırıcılığa kadar değişir. Bu nedenle bilgilendirilmek, en kötüye hazırlanmak ve her zaman doğrulanmış, önceden yapılandırılmış adım adım iş akışlarını kullanmak çok önemlidir. Yemlemenin ne olduğu hakkında daha iyi bir fikir vermek için, belirli bir saldırının nasıl göründüğüne dair bir örnek vereceğiz.

Aldatıcı yemleme

En yaygın siber saldırı, sahte e-postalar olarak da bilinen aldatıcı yemlemedir.

Bu senaryoda, alıcı hata yapmaya ikna etmeye çalışan bir e-posta alır: hesap ayrıntılarını (sözde) doğrulamak, kimlik bilgilerini sıfırlamak, bir işlemi doğrulamak veya sahte bir hediye için e-postadaki bağlantıyı tıklamak, vb. Bu tür bir e-posta, bilinen bir şirketten veya güvenilir bir kaynaktan örneğin Tokens.net alan adından (korkmayın; henüz böyle bir e-postaya rastlamadık!) geliyormuş gibi görünebilir; ancak buna aldanmayın. Hiçbir ciddi kripto şirketi sizden böyle bir şey yapmanızı istemez. Yalnızca gönderen adresine bakarak e-postanın nereden geldiğini kendiniz belirleyebilirsiniz.

Eğer biz Tokens.net adresinden size e-posta gönderirsek:
a.) Bir bağlantıyı tıklamanızı talep eden rastgele bir e-posta olmayacak, Tokens.net platformundan gelen bir e-posta, sorunuzun destek merkezden gelen yanıtı veya bir bülteni olacaktır.
b.) Özel anahtarınızı (veya diğer gizli bilgileri) asla istemeyiz

Alan adımızı gönderici olarak kullanan bir yemleme girişimleriyle ilgili herhangi bir bilgiye rastlarsak, mümkün olan en kısa sürede sizi bilgilendirmek için elimizden geleni yapacağız. Ancak bir banka olmadığımızı unutmayın, bu yüzden lütfen dikkatli olun.

Yönlendirme

Bir başka popüler ve daha başarılı dolandırıcılık alternatifi pharming'dir (yönlendirme). Bu, sahte bir web sitesinin meşru göründüğü ve bir aldatmaca web sitesi olduğunu fark etmek, o kadar da kolay değildir. Bu senaryoda, bir mağdura, orijinal gibi görünmesi için yeniden oluşturulmuş veya klonlanmış bilinen bir web sayfası sunulur. Bazı örneklerde, kurbanların sahte siteye götürmek için kötü niyetli bir bağlantıyı tıklamaları bile gerekmez. Saldırganlar, kullanıcının bilgisayarına veya web sitesinin DNS sunucusuna bulaşabilir ve doğru URL girilse bile kullanıcıyı sahte bir siteye yönlendirebilir. Kötü amaçlı web siteleri çoğu zaman çok gerçekçi görünen sahte web siteleridir ve asıl amaçları kullanıcının kimlik bilgilerini elde etmektir.

Ziyaret ettiğiniz sayfayı ve URL'yi her zaman iki kez kontrol edin

Bazen bir e-posta almazsınız; web sitesi Google aramasındaki ilk sıradadır, hatta bir reklam olabilir. Bu tür bir bilgisayar korsanı bilgilerinizi ve ardından paranızı çalar.
Bazen saldırganlar, kullanıcıların kötü amaçlı bir cüzdan uygulaması indirebilecekleri Google Play Store'u bile kandırırlar. Kasım 2018'de bunlardan en az 4 adet vardı. 2019'daki yeni bir örnek, kötü niyetli sahte Trezor uygulamasıydı; Uygulama orijinal SatoshiLabs grafiklerine bile benzemiyordu, ancak yine de birçok kişi buna kandı.

İlk uygulama sahte, ikincisi gerçek uygulama.

Daha önce bahsedilen yöntemlerin ve bazı ekstra becerilerin bir kombinasyonu, indirilebilir kötü amaçlı yazılımlar, bir aldatmaca web sitesindeki bir bağlantıdan gelen bir uygulama, sahte bir e-postadaki bir bağlantı veya bir e-postadaki ek olarak üretilebilir. Bu fidye yazılımı, kimlik bilgilerinizi çalmaz, ancak bilgisayarınızı kilitler ve hatta zorla elinizden alabilir. Bu tür kimlik avı bir ya da iki yıl önce yaygındı, kurbanlar bilgisayar dosyalarını şifreleyen bir .exe dosyası ile bir e-posta aldılar ve saldırgan daha sonra kurbana verilerini açmak için bir anahtar sunmak için bitcoin istedi.

Gizli kripto para madenciliği

Yemleme olarak da nitelendirilen bir başka siber saldırı da Cryptojacking’dir (Gizli kripto para madenciliği). Bu saldırı şekli daha çok işletmeler için tasarlanmıştır, ancak göz ardı edilmemelidir, bu nedenle gerekli önlemleri alınız. Cryptojacking, cihaz sahibinin bilgisi olmadan kripto para birimini çıkarmak için bir bilgisayar kullanan yasadışı kripto madenciliğidir. Bunun uyarı işaretleri arasında cihazınızın yavaşlaması, ısı üretimi ve daha kısa pil ömrü bulunur. Monero, daha düşük seviyeli donanımlarda madencilik yapabilmesi nedeniyle Cryptojacking ile ünlendi.

Son zamanlarda bilinen bir başka siber saldırı, Mac Electrum cüzdan kullanıcılarının 2,3 milyon kaybettiği Electrum cüzdan saldırısıdır.

Güvenmeyin, doğrulayın!

Kimlik avı saldırılarının gerçekleşmesinin sayısız yolu vardır ve hepsini listeleyemeyiz, bu yüzden size verebileceğimiz en iyi tavsiye iyi bilinen kripto sloganıdır: Güvenmeyin, doğrulayın! Sizi kimlik avı saldırılarından %100 koruyabilecek tek bir siber güvenlik teknolojisi yoktur, ancak temel güvenlik önlemlerini uygulamak, bunları başarıyla önlemenize yardımcı olacaktır. Güvenlik uzmanları ekibimiz, kendinizi korumak için her zaman en iyi uygulamaları kullanmanızı tavsiye eder! Sıkıcı gelse bile, güvenliğinizden sadece siz sorumlusunuz.

Mümkün olduğunca güvenli hissetmek için paranızı güvence altına almak, sadece bir donanım cüzdanı satın almak anlamına gelmez. Kripto parada, maaşınızın bir aydan daha fazlasına denk bir yatırımınız varsa, bir tane satın alın ve bu sayede web sitelerine daha kolay bir şekilde erişebilirsiniz. Ancak, kimlik avı web sitesine özel anahtarınızı girerseniz, cold storage bile sizi koruyamaz. Tüm paranız elinizden alınır. Daha önce bahsedilen Trezor örneğini hatırlayın (geliştirme ekibi Trezor'un tehlikeye atılmamasını sağlıyor). Bazı büyük borsalar bile kimlik avı ile karşı karşıya kaldı ve sonuç olarak saldırıya uğradı.

Paranız nasıl korunur

Paranızı güvenceye almak, her seferinde doğrulanmış tüm adımları atmanız gerektiği anlamına gelir. Durum tespiti süreci için temel bir kılavuz olması gereken talimatları izleyin ve bu sayede kimlik avı kurbanı olma olasılığınız azalır. Bununla birlikte, destek sağlayan bir borsa hizmetiyiz; biz bir banka değiliz ve bir banka gibi davranamayacağımızı anlamanızı istiyoruz. Paranızı her zaman koruyun. Web sitemiz tehlikeye girerse veya yanlışlıkla farklı bir web sitesini ziyaret ederseniz, paranız çalınır. Kendinizi kimlik avcılarından ve kayıplardan korumak için lütfen aşağıda listelenen işlemleri göz önünde bulundurun.

  • İlk olarak, gerçek bir web sitesine girdiğinizden emin olun, ilk erişiminiz güvenilir bir kaynaktan olmalıdır.
  • Kimlik avı alanlarını algılayan yazılım veya tarayıcı uzantıları yükleyin. Kötü amaçlı web sitelerini engellemek için EAL, MetaMask, Cryptonite veya MyEtherWallet Chrome Uzantısını yükleyin (son zamanlarda bu kendinizi korumak için artık yeterli olmamasına rağmen; tarayıcı uzantıları, bilgisayar korsanlarının kötü niyetli saldırıları gerçekleştirme stratejilerinin bir parçası haline gelmiştir).
  • Doğrulanmış erişim noktanızı daha sonra başvurmak üzere işaretleyin ve her zaman bu yer işaretinden girin.
  • İki Faktörlü Kimlik Doğrulamayı etkinleştirin, çünkü bunun bir bilgisayar korsanı tarafından elde edilmesi daha zordur. Web sitemiz bunu derhal yapmanızı ister. Eğer bunu ayarlamazsanız, para yatıramaz, çekemez hizmetimizin başka bir işlevinden yararlanamazsınız.
  • Platformumuzda kimlik avı önleme için isteğe bağlı bir adım, Kimlik Avı Koruması mesajı oluşturmaktır. Hesabınızla ilgili Tokens.net'ten gönderilen e-postalara eklenecek bir mesaj (3-40 karakter uzunluğunda) ayarlayabilirsiniz, bültenlerimizin bu mesajı içermediğinde dikkatli olun. Bu nedenle, bu mesajı görmezseniz, o e-postanın Tokens.net'ten gönderilmediği anlamına gelir
  • Özel anahtarınızı ve şifrenizi güvende tutmaya özen gösterin. Özel anahtarınıza bazen anımsatıcı ifade, anahtar deposu dosyası, UTC dosyası, JSON dosyası, cüzdan dosyası vb. denir. Özel anahtarınızı Dropbox, Google Drive veya diğer bulut depolama sitelerinde saklamayın. Bu hesabın güvenliği ihlal edilirse, paranız çalınacaktır. Özel anahtarlarınızı paylaşmayın.
  • Bir donanım cüzdanı satın alın. Bahane yok. Buna değecektir. Söz veriyoruz.
  • Şüpheli e-postalar, söz konusu gönderenler, destek ekibi sayesinde kolayca doğrulanır. Sormaktan çekinmeyin. Doğrulama, kriptoda önemli bir şeydir.

Kimlik bilgilerinizi isteyen bir web sitesinin yasal olup olmadığından emin değilseniz, aşağıdaki sağduyu adımlarını izlemelisiniz:

  • Asla tanımlanamayan bağlantılara tıklamayın! Size e-posta, Slack, Reddit, Twitter vb. yoluyla rastgele gönderilen mesajlara veya bağlantılara güvenmeyin.
  • Web sitesini ve e-posta adreslerini inceleyin. Tıklamadan, imleci ile üzerine getirin!
  • Her zaman hangi web sitesini ziyaret ettiğinizi ve URL'nin doğru olup olmadığını kontrol edin:
  • İşletmenin web alan adı sonlarını kontrol edin. Bilgisayar korsanları, .com'dan .org'a kadar genellikle bir harf veya bitişini değiştirirler. Normalde buna dikkat etmezsiniz ve sizi bu şekilde sizi sömürebilirler.
  • Google yazım hatalarını kontrol edin. Alan adını Google arama çubuğuna yapıştırın ve Google size bir yazım hatası bildirimi gösterirse yanlış alan adıdır.
  • Site https kullanıyor mu? SSL Sertifikası doğrulamasını kontrol edin (çünkü SSL şifrelemesi geleneksel olarak bir web sitesinin güvenilir olup olmadığını belirlemenin bir yoludur ancak son zamanlarda kötü amaçlı sitelerin https şifrelemesi olduğu için bu adım daha az önerilir)..
  • URL çubuğunun aşağıdaki gibi göründüğünden emin olun:
  • Doğru olamayacak kadar iyiyse, büyük olasılıkla doğrudur.
  • Bir şeyi anlamadığınızda veya bir şey size doğru görünmüyorsa soru sorun.
  • Korkuya izin vermeyin, FUD veya FOMO sağduyuya karşı kazanır.

Sakin olmanın ve ticaret yapmanın en önerilen yolu, uyanık kalmanız ve başlangıçtan itibaren ayarladığınız rutin adımları izlemenizdir.

Kripto para birimi fiyatları yükseldikçe kimlik avı suçluları da artmaktadır. Dikkatli olun ve gereken özeni gösterin

Rate this article:
Author: Tokens.net Team
English
Deutsch
Italiano
Français
Español
Nederlands
Polski
Svenska
Português
Türkçe