Kriptoda dolandırıcılık ve kimlik avından nasıl korunulur: pratik koruma

Tek bir tıklama tüm bakiyene mal olabilir. Kripto para kaybı hikâyelerinin binlercesi böyle başlar. Kullanıcı, orijinaline benzeyen bir siteyi açar, cüzdanı bağlar — ve USDT kaybolur. CertiK analistlerine göre, yalnızca 2025’in ilk yarısında kripto yatırımcıları hack ve dolandırıcılık nedeniyle 2,5 milyar dolar kaybetti. 340’tan fazla olay kayda geçti ve tek bir saldırının ortalama zararı 7,18 milyona ulaşıyor. Neredeyse 400 milyon dolar ise özellikle kripto oltalamasına (phishing) ait; sahte siteler, botlar ve cüzdanlar orijinal servis gibi kılık değiştiriyor.

Bu materyalde açıklanıyor:

• nasıl dolandırıcılığa düşmeme ve sahteyi ilk bakışta tanıma;
• herhangi bir ağda ve uygulamada kriptoyu nasıl kaybetmeme;
• hangi güvenli kripto servislerini seçmek ve bunları sahtelerinden nasıl ayırt etmek;
• ve kripto dünyasında kendini aldatılmaktan nasıl korumak.

Oltalama ve dolandırıcılık, her blokzincir kullanıcısı için başlıca tehditlerdir. Banka kartlarının aksine, kriptodaki işlemler geri döndürülemez ve çalınan coin’leri geri almak neredeyse imkânsızdır. Bu nedenle sonuçları “tedavi etmekten” ziyade riski önlemeyi öğrenmek daha önemlidir.

Dolandırıcılık, kâr amacıyla yapılan aldatmadır. Dolandırıcılar “garantili gelir”, “test ödemeleri”, “havuzlara (pools) yatırım” veya “hata için tazminat” vaat eder. Amaç tektir — kişiyi gönüllü olarak varlık transfer ettirmeye ikna etmek.

Oltalama (phishing), orijinalin birebir kopyasıdır. Bir site veya bot, gerçek projenin görünümünü tamamen tekrarlar, ancak veriler geliştiricilerin sunucusu yerine saldırganlara gider. Logo, renkler ve düğmeler aynıdır, fakat her düğme seed phrase’in (kurtarma ifadesi) çalınmasına veya cüzdanın sahte bir kontrata bağlanmasına yol açabilir. Kurban olmamak için bir scam sitenin işaretlerini bilmek ve sahte bir siteyi tanımayı — yani orijinal site ile sahtesini nasıl ayırt edeceğini — anlamak önemlidir.

Kripto neden özellikle savunmasız:

• anonimlik, saldırganların hızlıca tespit edilmesini zorlaştırır;
• işlemler geri döndürülemez — transferleri geri almak neredeyse imkânsızdır;
• kullanıcılar, adres çubuğunu kontrol etmek yerine arayüze ve tasarıma güvenme eğilimindedir.

Chainalysis’in tahminlerine göre, 2024’te sahtekârlık şemalarıyla bağlantılı adresler yaklaşık 12 milyar dolar aldı. Önemli bir payı, kitlesel hırsızlık için özel olarak oluşturulmuş scam kripto projeleri ve sahte cüzdanlar oluşturur.

Dolandırıcılar daha kurnaz davranmaya başladı. Sadece benzer alan adları almakla kalmıyorlar — arayüzü, metinleri, animasyonları ve hatta sohbet yanıtlarını kopyalıyorlar.

Tipik yöntemler:

• Alan adı ve karakter değiştirme. example.com yerine examp1e.com, exarnple.com veya exampIe.com (l yerine Latin I) görürsün. Bu numaralar göz ucuyla bakınca çok iyi kamufle olur.
• Reklam satın alma. Sahte sayfalar, arama reklamlarında ve Telegram kanallarında yer satın alarak gerçek linklerin üzerine çıkar.
• Arayüz taklidi. Klonlar “Cüzdanı bağla”, “Doğrulama” gibi düğmeleri kopyalar — ve kendi kontratlarını koyarlar.
• Sahte Telegram botları ve özel mesajlar. Botlar, projenin destek ekibi gibi görünür ve Telegram’da oltalama linkleri yollar; “onayla” veya “kod gir” talep eder.
• Sahte uygulamalar. Uygulama mağazalarındaki cüzdan klonları ilk açılışta seed ister.
• Sahte “checker”lar ve hesaplayıcılar. Bu “servisler”, revoke kontrolü teklif eder ama gerçekte özel veriler veya imzalar ister.
• Sahte destek — ayrıca yaygın bir hile

Birçok scam aynı senaryoyla çalışır: Sana “destek” (çoğunlukla Telegram’da) yazar, bir hatadan veya “dondurulmuş fonlardan” bahseder ve “iade” için cüzdanı doğrulamanı ister. Bazen uygulamanın güvenli kurulumunu veya doğrulama için “bağlantı” teklif ederler.

Bu sırada şu taktikler kullanılır:

• benzer kullanıcı adları (bir harf/sembol farkı);
• avatar kopyaları ve kısa “doğrulama” ifadeleri;
• zaman baskısı (“10 dakika içinde iade edin”).

Temel güvenlik kuralı — herhangi bir işlemden önce siteyi sahteye karşı kontrol etmektir. Bir dakika alır ve çoğu zaman fonlarını kurtarır.

Kontrol listesi:

• Site adresini resmî olanla karşılaştır. Oltalama alan adları genellikle neredeyse aynıdır: fazladan harfler ekler, karakterlerin sırasını değiştirir veya “l” yerine Latin “I”, “o” yerine “0”, “m” yerine “rn” gibi ikameler kullanır. Gerçek projeler genellikle .com, .org veya bölgesel uzantılar kullanır — beklenmedik uzantılar veya tireler olup olmadığına bak.
• Alan adı ve SSL kontrolü. Sitenin HTTPS ile çalıştığından ve adres çubuğunda kilit simgesi olduğundan emin ol. Tarayıcı “Güvenli değil” diyorsa — devam etme. Alan adını ve SSL’i kontrol etmek, oltalamanın çoğunu önlemeye yeter.
• Kayıt tarihi (whois). whois ile bak: genç alan adları (< 6 ay) sıklıkla oltalamayla bağlantılıdır.
• Resmî sosyal ağlar ve kanallar. Twitter/Telegram/proje sayfasındaki linklerin site alan adıyla eşleştiğini kontrol et. Gerçek proje, resmî kaynağa tek bir link yayınlar.
• İçerik kalitesi. Yazım hataları, makine çevirisi, yerleşim (layout) hataları — sahteciliğin tipik işaretleridir.
• Reklamdan geçme. Adresi elle yazmak veya yer iminden açmak daha güvenlidir.

Group-IB verilerine göre, 2024’te oltalama sitelerinin sayısı %110 arttı. Alan adı ve HTTPS’in basit kontrolü — oltalamaya karşı gerçek ve hızlı bir korumadır.

Kripto güvenliği, programlarla değil, alışkanlık hâline gelen basit eylemlerle başlar.

• Yalnızca doğrulanmış kaynakları yer imlerinde tut ve kişisel güvenli kripto servisleri listeni oluştur.
• Seed phrase’i, özel anahtarı veya QR kodunu asla üçüncü taraf sitelere girmeyin.
• Telegram botlarının kullanıcı adlarını kontrol edin — sahtelerde genellikle fazladan bir harf veya “o” yerine “0” vardır.
• Yorumlarda ve özel mesajlarda “destek” tarafından gönderilen linklere tıklamayın.
• İki adımlı doğrulamayı (2FA) etkinleştirin ve mevcutsa anti-phishing kodları kullanın.
• Büyük meblağlar için donanım cüzdanları kullanın — bir kripto cüzdanını hack’ten korumanın basit ve güvenilir bir yoludur.
• Token izinlerini (approve) düzenli olarak kontrol edin — erişim kontrolünün anahtarıdır.

Diğer ağlarda approvals nerede kontrol edilir: Ethereum için — Etherscan (Token Approvals), BSC için — BscScan, Polygon için — Polygonscan, Avalanche için — SnowTrace. Revoke.cash veya Etherscan Token Approvals gibi evrensel araçlar çoğu EVM ağında yardımcı olur.

Bu adımları izleyerek kendinizi scam’den korur ve fonlarınızı muhafaza edersiniz.

Dolandırıcılık nadiren bariz görünür. Tanınmış bir sitenin kopyası, kibar bir “destek” botu veya komisyonu “kontrol etmeyi” öneren bir hesaplayıcı olabilir. Her şey tanıdık görünür, fakat tek bir tıklama hesabı sıfırlayabilir.

Kullanıcıya (Telegram / e-posta) “hatalı” transferlerin bulunduğu ve iade için adresin doğrulanması gerektiği yazan bir mesaj gelir. Link sahteye götürür; bağlanınca bir izin (approve) oluşturulur veya seed istenir — ve bakiye uçar.
Tepki: Linke tıklamayın, alan adını kontrol edin, bağlandıysanız — ilgili blok gezgini üzerinden derhal revoke yapın.

Uygulama mağazalarında benzer isim ve logolu sahte cüzdanlar çıkar. İlk açılışta seed isterler. Seed girildikten sonra veriler saldırganların sunucusuna gider.
Tepki: Uygulamaları yalnızca resmî sitedeki linkten indirin, yayımlayıcıyı kontrol edin, seed girdiyseniz — yeni bir cüzdan oluşturun ve fonları taşıyın.

Botlar “resmî” mesajlar yollar, adres onayı veya “koruyucu” bir uygulama kurulumu ister. Çoğu zaman acele ve duygusal bir gerekçe kullanırlar.
Tepki: Gönderilen linklere girmeyin, kullanıcı adını ve hesabın oluşturulma tarihini kontrol edin, sitede verilen iletişimden resmî destekle irtibata geçin.

Siteler, yararlı araçlar (komisyon hesaplayıcıları, revoke-checker’lar) gibi görünür ama özel veri ister veya imza gerektiren “otomatik düzeltme” teklif eder.
Tepki: Sadece blok gezginlerinin doğrulanmış araçlarını kullanın, özel anahtarları ve seed’i asla girmeyin.

Deneyimli kullanıcılar bile hata yapar. Önemli olan hızlı ve kurala uygun hareket etmektir.

1. Cüzdanı şüpheli siteden ayırın. TronLink/MetaMask/WalletConnect oturumlarını kapatın — parayı geri getirmez ama ilave arka plan isteklerini durdurur.
2. Kalanı yeni bir cüzdana (yeni seed) aktarın. Eskiye asla dönmeyin.
3. İzinleri (approve) kontrol edip temizleyin.
   EVM ağları için — Etherscan/BscScan/Polygonscan → Token Approvals / Revoke.cash.
   TRON için — TronScan → Wallet → Approvals.
4. Cihazı kontrol edin. Antivirüsle tarayın, şüpheli APK/eklenti’leri silin.
5. Scam’i bildirin. Bilgileri Chainabuse, ScamSniffer, projenin desteği ve ilgili topluluklara yükleyin. Alan adı ne kadar hızlı etiketlenirse o kadar az kurban olur.
6. Topluluğu uyarın. Tematik sohbet ve forumlarda paylaşın — başkalarını kurtarır.

Olaydan sonra parolaları değiştirin, 2FA’yı etkinleştirin, yedekleri yeniden oluşturun ve approvals’ı haftalık kontrol edin. Böylece tekrar sızıntı riskini en aza indirir ve bir kripto cüzdanını gelecekteki saldırılara karşı nasıl koruyacağınızı anlarsınız.

Oltalama ve dolandırıcılık milyarlarca dolarlık ciroya sahip bir endüstri hâline geldi. Sadece 2025’in ilk yarısında kullanıcılar 2,5 milyar dolardan fazla kaybetti ve bu kayıpların önemli bir kısmı sahte siteler, botlar ve sahte destekle bağlantılı.

Bununla birlikte, dikkat, basit bir alan adı/SSL kontrol listesi ve temel alışkanlıklar (yer imleri, 2FA, donanım cüzdan, izinleri geri alma) çoğu tipik saldırıdan kaçınmayı sağlar. Güvenli kripto servisleri kullanın, her işlemi kontrol edin ve dolandırıcılığa düşmeme ile kriptonuzu kaybetmeme konusunda tam bir farkındalığa sahip olun.

Bu materyal bilgilendirme amaçlıdır ve finansal tavsiye değildir.