Seed Phrase Dolandırıcılığına Karşı Nasıl Hareket Edilir?

By Balcı B., Gate.io Researcher

Dolandırıcılar tarafından temel ifadeleri çalmak ve insanların dijital varlıklarını kaybetmelerine neden olmak için çeşitli sosyal mühendislik teknikleri kullanılmaktadır.

• Seed Phrase dolandırıcılığı, hedeflerin Seed Phrase’lerini açığa çıkarmak ve dijital varlıklarını tutan cüzdanı tehlikeye atmak için kullanılan farklı teknikleri içerir.

• Yaygın Seed Phrase dolandırıcılığı, saldırganın bir aciliyet duygusu yarattığı ve hedeften bir oltalama web sitesinde veya bir form aracılığıyla bir başlangıç ifadesi göndermesini istediği dolandırıcılık türleridir.

• Seed Phrase’ler, bir kripto cüzdanının ana anahtarıdır ve bunların ifşa edilmesi, sahibini geri dönüşü olmayan fonlarını kaybetme riskine sokar.

• Seed Phrase dolandırıcılığına karşı yol gösterecek önlemlerden bazıları şunlardır: Seed Phrase’i güvenli bir yerde tutmak, parçalara ayırmak ve her bir parçayı farklı yerlerde saklamak, çevrimiçi tutarken şifrelemek ve uygulama dışında destek aramaktan kaçınmak yardıma ihtiyaç var.

• Cüzdana ve içindeki fonlara erişim kaybına yol açacağından, koruma teklifindeki seed ibaresini yanlış yere koymayacak önlemler alınmalıdır.

Kripto alanı, dikkat gerektiren dalgalı bir sudur. Bireylere, bir bankaya veya kuruma güvenmeden fonların korunması da dahil olmak üzere, finanslarının sorumluluğunu üstlenmeleri için muazzam bir gücün verildiği bir alandır. Kime çok verilirse, çok şey beklenir! Cüzdan olarak bilinen kripto fonlarını tutan kasa, ona erişim sağlayan ve kurtarma için kullanılabilen bir ana anahtara sahiptir. Bu ana anahtara seed ifadesi denir. Seed Phrase’leri hedefleyen dolandırıcılık son zamanlarda yükselişte. Seed Phrase, bir yedekleme mekanizması olarak bir cüzdan kurarken sağlanan 12-24 algoritmik olarak oluşturulmuş kelimedir. Bir cüzdanı bir cihazdan diğerine aktarırken veya cihazın kaybolmasını takiben, cüzdanı kurtarmak için Seed Phrase gerekecektir ve bir Seed, tüm token ve coin portföyünü kurtarmaya hizmet edebilir. Bu nedenle, dolandırıcıların bullseye puan vermesi için, insanların Seed Phrase’lerini ifşa etmelerini hedefleyen farklı teknikler tasarladılar.


Seed Phrase Dolandırıcılık Teknikleri

Klasik bir şair bir keresinde, "Kötülüğü yaptığım için değil, kötülüğe düşmemek için biliyorum" demişti. Seed Phrase dolandırıcılığına karşı yol göstermenin bir yolu, dolandırıcıların insanlardan Seed Phrase’leri almak için kullandıkları farklı teknikleri anlamaktır. Geçen Mayıs ayında, popüler kripto cüzdanı Metamask, Twitter'da Seed Phrase’leri çalmak için kullanılan bir bot hakkında alarm verdi. Dolandırıcılık planı, gerçek görünen bir hesaptan gelen talep şeklindeydi. Açıklamada, bir destek formu doldurulması ve gizli kurtarma ifadesi talep edilmesi önerildi. Bu, dolandırıcıların giriş cümlelerini alarak insanların cüzdanlarına erişmeye ve onları boşaltmaya çalıştıkları farklı yollardan biridir.

Seed Phrase’lerini çalmak için yaygın olarak kullanılan dolandırıcılık teknikleri şunları içerir:

Kaynak: blog.malwarebytes.com

1. Oltalama: Oltalama, siber uzayda güvenlik ve güvenlikten bahsederken yeni bir kavram değildir. Dolandırıcıların insanları şüpheli bir web sitesine girmelerini sağlayarak Seed Phrase’lerini vermeleri için cezbetme yöntemleri arasında listenin başında geliyor. Cüzdanlarına erişmeleri için bir aciliyet duygusu, bu durumda, onların Seed Phrase’i yaratırken, insanları şifrelerini veya kişisel olarak tanımlanabilir ayrıntılarını ifşa etmeleri için kandırmayı içerir. Bazı oltalama dolandırıcılıkları, bir oltalama web sitesine veya Exodus ve Metamask gibi popüler cüzdanları taklit eden bir tarayıcı uzantısına bağlantı veren açılır reklamlar biçiminde gelir. Bir oltalama dolandırıcılığı saldırısında Domenic Iacovone, 65.000 dolar değerindeki varlığını kaybetti. Apple müşteri hizmetleri temsilcisi kılığına giren bir dolandırıcı, hedefi aradı ve Apple hesabının ele geçirildiğini ve kurbanın hesap sahibi olduğunu tespit etmek için telefona bir kod göndereceğini söyledi. Bu numara ile telefona erişim sağladıktan sonra hacker, iCloud yedeklemesi aracılığıyla Seed Phrase’ine erişmek için daha da ileri gitti ve cüzdanı saniyeler içinde boşalttı.

Dolandırıcıların da kullandığı tipik bir oltalama saldırısı, hedefli oltalamadır. Bu durumda saldırgan, donanım cüzdan sağlayıcıları gibi güvenilir göndericilerden geliyormuş gibi davranan ve onlardan Seed Phrase’lerini güncellemelerini isteyen kişileri hedeflemek için özelleştirilmiş bir e-posta veya mesaj kullanır. Kim onların hilesine kurban giderse cüzdanı tehlikeye girer.

2. Yemleme: Yemleme, saldırganların Seed Phrase’leri çaldığı başka bir dolandırıcılık tekniğidir. Yemlemede, dolandırıcı, onlara airdroplar, eşantiyonlar veya dijital koleksiyonlar gibi ürünler veya öğeler vaat ederek insanları oturum açma kimlik bilgilerini vermeye teşvik eder. Bazıları, hedeflerinden, onları tuzağa düşürmek ve fonlarına erişmek için cüzdanlarına belirli bir Seed Phrase’ini girmelerini de ister. Ödül dağıtımı, kripto toplulukları oluşturmak için yaygın bir teşviktir. Dolandırıcılar genellikle, proje lansmanlarının bir parçası olarak, insanları Seed Phrase’leri vermeye ve böylece cüzdanlarını tehlikeye atmaya kandırmak için ikramiye dağıtma bahanesi altında saklanır. Birçok kişi airdropları ve diğer eşantiyonları bazı dijital varlıkları edinme fırsatı olarak görüyor ve tüm planın gerçekliğini doğrulamak için dikkatli olmayabilir.

Trend olan yaygın bir tuzak dolandırıcılığı, bazı vicdansız unsurların, tesadüfiymiş gibi davranarak Seed Phrase’lerini çevrimiçi olarak ortaya çıkarmasını içerir. Şüphelenmeyen bazı kişiler, fonu almak için Seed Phrase’leri cüzdanlarına girmek için tuzağa düşürülecek. Bu, dolandırıcının cüzdana erişmesini sağlayacak ve cüzdandaki tüm fonların hem öncekinin hem de cüzdan sahibinin tuzağa düşürüldüğü fonun boşaltılmasına neden olacaktır.

3. Quid pro quo: Quid pro quo, yemlemeye çok benzer. Quid pro quo, hedefin oturum açma bilgisi alışverişi için ihtiyaç duyabileceği bir hizmeti sunmayı vaat etmeye dayanır. Karşılıksız olarak vaat edilen fayda, genellikle bir sistemi yükseltmek gibi hizmetteyken, yemlemede esas olarak iyi şeklindedir. Dominic Iacovone davası, bir kimlik avı saldırısının bir alt kümesi olarak quid pro quo kapsamına giriyor.


Seed Phrase dolandırıcılığına karşı nasıl hareket edilir

Cüzdanlar, sıcak cüzdan olarak bilinen çevrimiçi olarak veya soğuk cüzdan olarak bilinen fiziksel donanımda çevrimdışı olarak depolanır. Sıcak cüzdanlar korsanlığa karşı daha hassastır. Durum ne olursa olsun, Seed Phrase dolandırıcılığına karşı yol gösterici önlemler alınmalıdır. Geleneksel finansal sistemden farklı olarak, kripto alanındaki işlemler blok zinciri tarafından desteklenir ve geri döndürülemez. Bir kişi cüzdanınıza erişip onu boşalttıktan sonra, işlemi tersine çevirmenin bir yolu olmayacak, bu da bu önlemleri çok önemli kılıyor.

Seed Phrase’inizi güvenli bir yerde saklayın, tercihen bir yere yazın. Diyelim ki onu çevrimiçi olarak saklamanız gerekiyor, bunun şifreli bir versiyonunu saklamanız gerekiyor.

1. Başlangıç öbeğinizi tutarken, Seed Phrase’inizi bölümlere ayırmayı ve bunları farklı konumlarda saklamayı içeren parçalama yöntemini benimseyin.

2. Dolandırıcıların yemi olabileceğinden, cüzdanınıza garip bir Seed Phrase girmekten kaçının.

3. Uygulamalarda veya sosyal medyada rastgele destek aramaktan kaçının ve yardım almanız gerekiyorsa, bunu yalnızca yardım istediğiniz uygulamanın içinden yapın.

4. Bir Seed Phrase yalnızca birkaç durumda gereklidir; bu nedenle, herhangi bir vaat için çevrimiçi herhangi bir forma Seed Phrase’i asla girmeyin.

5. Apple gibi bulut yedeklemeye otomatik olarak Seed Phrase yazan bir cihaz kullanıyorsanız, Depolamayı yönet ayarına gidebilir ve yedekleme özelliğini kapatabilirsiniz.

6. Her zaman bir gönderenin meşruluğunu araştırın ve Seed Phrase’inizi vermenizi içeren acil bir eylemde bulunmanız için baskı altında olduğunuzda dikkatli olun.

7. 2 faktörlü doğrulamayı etkinleştirin ve özellikle cüzdanınızla etkileşim kurarken açık wi-fi ağlarından kaçının.

8. Kuruluşlar, farkındalık ve raporlamayı artırmak için çalışanlara uygun eğitimler vermelidir.

9. Web siteleriyle uğraşırken, web sitesinin sertifikasının güvenilir olduğundan emin olmak için URL'yi kontrol edin ve bir siteyle bağlantınızın güvenli olmadığını belirten uyarılara uyun.

Bir Seed Phrase’iyle biraz dikkatsizliğin maliyeti çok büyüktür ve cüzdanınız önemli miktarda para tutuyorsa bunu hayal edebilirsiniz. Varlıklarınızın güvenliği için, soğuk cüzdanınızdaki daha önemli bir oranı çevrimdışı tutarken, sıcak cüzdanınızın yalnızca bir kısmını çevrimiçi tutabilirsiniz. Her halükarda, Seed Phrase’iniz ile ekstra dikkatli olmanız gerekmektedir.

Yazar: Gate.io Araştırmacı: M. Olatunji Çevirmen: Baturalp BALCI

* Bu yazı sadece araştırmacının görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.

*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.