Kripto Para Güvenliği İçin Uzmanları Dinleyin
Kripto para güvenliği için önlemizi mutlaka almalısınız. Bitcoin’in radikal yükselişi kripto paralarda siber hırsız ve dolandırıcılara kapı araladı. Titan zinciri gibi hareket eden de var, zararlı yazılım ile Bitcoin hırsızlığı yapan da. Kripto paranızı hırsızlara kaptırmamak veya dolandırılmamak için uzmanları dinleyin…
İçeriğe Ait Başlıklar
Bitcoin Güvenliği
KRİPTO para birimi Bitcoin şu sıralar her gün kırdığı rekorlarla gündemde. Bir yandan yatırım aracı olarak vatandaşın iştahını kabartan Bitcoin, öte yandan herhangi bir güvencesi olmaması sebebiyle korkutuyor. Hatta bu belirsizlikten dolayı Bitcoin yatırımcılarına FUD deniyor. FUD, fear, uncertanity ve doubt’ın (korku, belirsizlik, şüphe) kısaltması. Yani Bitcoin alınca bu üçü de promosyon olarak geliyor. FUD durumu sadece Bitcoin için değil diğer kripto paralar için de geçerli.
Merkaz Bankaları Uyarıyor
ABD, Güney Kore, Birleşik Krallık, Danimarka, İsveç, Estonya, Hollanda, Kanada, Avustralya ve Finlandiya Bitcoin ve kripto paralar için olumlu adımlar atarken bazı ülkeler mesafeli yaklaşıyor. Örneğin Çin hükümeti Bitcoin’i yasakladı. Fransa Merkez Bankası Başkam François Villeroy de Galhau, Bitcoin için ‘spekülatif bir varlık’ tanımını yapıyor ve Bitcoin yatırımı yapanların bilerek risk aldığım söylüyor. Villeroy, “Bitcoin asla bir para birimi değildir. Değerinin ve son derece yüksek olan volatilitesinin hiçbir ekonomik dayanağı yoktur. Fransa Merkez Bankası, Bitcoin yatırımcılarına aldıkları risklerden tamamen kendilerinin sorumlu olduklarını hatırlatır” diyor.
Rusya Maliye Bakanı Anton Silu-anov ise, bir süre önce yaptığı açıklamada, Jcripto paraların devlet kontrolü altında temin edilmesi ve kullanılmasının gerektiğini 7 söylemişti. Rusya Merkez Bankası tarafından yayınlanan raporda da, kripto para piyasalarının yüksek riskler barındırdığı belirtildi. “Kripto paralar tüketiciler için önemli kayıplara yol açabilir” uyarısında bulunuldu. Rusya, ken-di sanal para birimini çıkarma hazırlığında gi; olduğunun duyurusunu jF daha önce yapmıştı.
Sürekli değeri artan Bitcoin’in ve diğer 900 adet kripto paranın pazar büyüklüğünün 200 milyar doları aşması nedeniyle Türkiye de harekete geçti.
Merkez Bankası Başkanı Murat Çetinkaya, henüz Bitcoin ve benzeri uygulamalara ilişkin doğrudan herhangi bir yasal düzenleme bulunmadığını belirtirken, sanal para düzenlemeleri yapılırsa finansal istikrara katkı sağlayabileceğini vurguladı ve bir çalışma grubu kurulduğunu açıkladı.
Kripto Para Hırsızları Türedi
Kripto paralara yönelik tüm bu belirsizlik ve şüphe sürerken, siber suçlular da boş durmuyor. Kripto para birimlerine olan ilgi tüm dünyaya yayılırken, bu alan siber suçlular için de hızla çekici bir hedef haline geliyor. Uzmanlar Bitcoin ve diğer kripto paralar üzerinden yapılan dolandırıcılıklar ve Bitcoin hırsızlığı konusunda uyarıyor.
Kaspersky Lab araştırmacıları, kripto para transferi sırasında cihazın panosundaki adresi değiştirerek kullanıcıların cüzdanlarından kripto para birimi çalan yeni bir zararlı yazılım keşfetti. Suçlular, Bitcoin, Ethereum, Zcash, Dash, Monero ve diğer popüler kripto para birimlerini hedef alıyor. Daha önceden kredi kartı bilgilerini veya banka hesap bilgilerini çalmak için kullanılan bu zararlı yazılım şimdi de kripto cüzdanlara uyarlanmış.
Özetleyecek olursak, kullanıcı kripto paralarını başka bir kullanıcıya aktarmak isterse, alıcının cüzdanına özgü çok haneli kimlik numarasını bilmesi gerekiyor. CryptoShuffler isimli zararlı yazılım işte tam bu sırada devreye giriyor. Kopyalanan cüzdan numaralarının, işlemi yürüten yazılımdaki ‘hedef adres’ satırına yapıştırılması işlemini takip ederek, yapıştırma esnasında hedef adresi kendi hesap numarasıyla değiştiriyor. Yani CryptoShuffler, panoda bir kripto para birimi cüzdan adresi algıladığı anda adresi bir başkasıyla değiştiriyor.
Kurban eğer hedef adresi tekrar kontrol etmediyse parasını kendi eliyle suçlulara aktarmış oluyor. Araştırmaya göre CryptoShuffler; Bitcoin, Ethereum, Zcash, Dash, Monero ve diğer popüler kripto para birimleriyle çalışıyor.
Spamcılar Çılgınlığı Fırsat Bildi
Bunun yanı sıra, geçtiğimiz üç ay içinde Kaspersky Lab araştırmacıları, kripto para birimleriyle alakalı spam aktivitelerinde de artış olduğunu tespit etti. “2017’nin Üçüncü Çeyreğinde Spam ve Kimlik Avı” raporuna göre, suçlular kullanıcıları kandırıp paralarını çalmak için birçok başarılı yöntem kullanıyor. Bu tür yöntemlerin birinde, kullanıcılar kripto para birimi pazarında alım satım yapmaya yarayan özel bir yazılımı indirmeleri için e-posta ile bir davetiye alıyorlar. Bağlantıya tıkladıklarında ise ikili opsiyon gibi yatırım seçeneklerini tanıtan farklı web sitelerine yönlendiriliyorlar. Siber suçlular bu sayede kullanıcıları daha fazla para yatırmaya ve kendilerine ait bir ticari hesaba para göndermeye ikna ediyorlar.
Bu yöntemin kurbanı olan kişilerin bir gelir elde etme ya da paralarını geri alması mümkün değil. Bu dolandırıcılık yöntemi kumarhane yöntemiyle benzerlik gösteriyor ve kullanıcıları ellerinde hiçbir şey kalmayana kadar para yatırmaya yöneltiyor. Sonunda ise tüm yatırılan para siber suçluya kalıyor.
Bundan daha basit fakat aynı şekilde etkili başka bir yöntemde ise, kurbanlara belirli bir kripto cüzdana para aktarmalarını teklif eden e-postalar gönderiliyor. Kullanıcılara paralarını faizle birlikte geri alacakları söyleniyor. Elbette bu hiçbir zaman gerçekleşmiyor. Kullanıcılar bilinmeyen bir cüzdana para aktardıktan sonra siber suçlular yatırılan miktarı çekiyor.
Üçüncü çeyrekte Kaspersky Lab araştırmacıları tarafından keşfedilen diğer bir yöntemde ise, kullanıcıların kripto para birimleri hakkında daha fazla bilgi edinmesine yönelik sahte eğitimler vaat ediliyor. Gönderilenin gerçek bir reklam olduğuna inanan kullanıcılar çok yüksek fiyatlı bu eğitimlerin ücretini ödüyor. Ancak, tavsiye almak için ödenen bu para sonunda kullanıcının bilgi dağarcığım değil, başka birisinin cüzdanını zenginleştiriyor.
İco’lar Üzerinden Hırsızlık
Kaspersky Lab Zararlı Yazılım Uzmanı Alexey Malanov güvenli olmayan ICO’lara dikkat çekiyor. 2017 yılında blok zinciri veya kripto para birimleriyle ilgili projelere yatırım yapmak kripto para sahipleri arasında oldukça popüler hale geldi. Bu tür fon toplama projelerine ICO yani Initial Coin Offering adı veriliyor. 2017 yılında ICO’lar aracılığıyla 1.7 milyar dolardan fazla fon toplandı. Şu ana kadar projelerin çoğu başarıya ulaşamasa da yatırımcılar hala iyimser. Ancak ortada projeyi yapan insanların sözünden başka bir güvence bulunmaması sorun teşkil ediyor.
ICO’da fon toplama işlemi genellikle belirli bir zamanda başlar ve gereken miktar toplandığında sonlanıyor. Süre başladığında toplama adresi proje web sitesinde yayınlanıyor. Bir ICO sırasında toplama süresi başlar başlamaz bir hacker proje web sitesine erişim sağlayarak adresi kendi adresiyle değiştirebiliyor. Malanov bu konuda şöyle bir kritik örnek veriyor: “Bir keresinde bu yöntemle bir hacker 1 saat içerisinde 2 bin katılımcıdan 8 milyon dolar toplamıştı. Daha sonra adresin sahte olduğu duyuruldu ama iş işten geçmişti.”
Madenci Botnetler
Kaspersky Lab’m zararlı yazılım araştırma ekibi, bulaştığı cihazlara bir kripto para birimi madenci yazılımı yükleyen ve zararlı bir yazılımın bulaştığı bilgisayarlardan oluşan iki botnet tespit etti. Meşru yazılımlar olan kripto para birimi madencileri, blockchain teknolojisini temel alan sanal para birimleri üretiyor. Uzmanlara göre, 4 bin cihazdan oluşan bir ağ, sahiplerine ayda 30 bin dolardan fazla para kazandıra-biliyor. Uzmanlar bir diğer örnekte ise suçluların 5 bin bilgisayardan oluşan bir botnet ile 200 bin dolardan fazla gelir elde ettiğine şahit oldu.
Bitcoin ve diğer kripto para birimlerinin mimarisi dolayısıyla, kripto para birimi satın almanın yanı sıra kullanıcılar “madenci” olarak tabir edilen özel yazılımlar ile bilgisayarların işlem gücünden faydalanarak bir birim kripto para (veya coin) üretebiliyor. Söz konusu yazılım kurbanın bilgisayarına yüklendikten sonra, madencilik yoluyla oluşturulan paralar suçluların cüzdanlarına gönderiliyor. Arkalarında ise neden yavaş performans gösterdiği tam anlaşılamayan bir bilgisayar ile normalin biraz üzerinde elektrik faturaları bırakıyor. Suçlular özellikle iki kripto para birimini tercih ediyor; Zcash ve Monero.
Kripto para madenciliğine dikkat çeken antivirüs firması ESET ise, Monero para birimi üretmek için eski ve güncel olmayan Windows web sunucularının kullanıldığını tespit etti. Siber saldırganlar bunu başarmak için, açık kaynak kodlu yasal Monero madenciliği yazılımını değiştirerek, güncellenmemiş dolayısıyla yaması eksik ve eski (Windows Server 2003) sunucularda yer alan Microsoft IIS 6.0’a ait bilinen bir güvenlik açığını kullanıyor.
Donanım Cüzdan Kullanın
Bitcoincuzdanim.com Genel Müdür Yardımcısı Hakkı Pehlivan, herhangi bir cüzdanı oluştururken dikkat edilmesi gereken en önemli konunun, güvenlik kelimelerinin (ki bu genelde 12 kelimeden oluşur, donanım cüzdanlarda genelde 24 kelime olur) mutlaka sırasıyla bir yere not edilmesi olduğunu söylüyor. Bu kelimelerin bilgisayardan ziyade bir kağıda not edilerek güvenli bir yere saklanması gerektiğine değinen Pehlivan, “Dijital varlıkların bilgisayarda, telefonda veya borsalarda tutulmasının belirli riskleri vardır.
Borsalar batabilir, hack’lenebilir, bilgisayarınız ve cüzdanınız da hack’lenebilir. Kripto paralarınızı tutabileceğiniz en güvenli cüzdan donanım cüzdanlardır” diyor. Donanım (offline) cüzdanların özel güvenlik katmanlarıyla donatıldığını belirten Pehlivan, sözlerini şöyle sürdürüyor:
“işlem yaparken işleminizi cüzdan üzerinde bulunan tuşlar vasıtasıyla fiziksel olarak onaylamanız gerekir yani aşılması imkansıza yakın olan çok özel güvenlik katmanları aşılsa dahi, işlemin fiziksel olarak onaylanması gerekir.”
Borsalarda da Hırsızlık Var
Coin-turk.com yazarı Levent Kurt ise bilgisayarında Bitcoin cüzdanı yüklü olanların çok dikkat etmesi gerektiğini belirterek, “Kötü amaçlı yazılım indirme ve sonrasında hesap boşaltımı en çok rastlanan olaydır.
Ledger veya Trezor gibi donanım Bitcoin cüzdanlarının hack’lenmesi zor olduğundan bu tür cihazların kullanımı güvenliği bir üst seviyeye çıkaracaktır” diyor. Bitcoin borsaları üzerinden de hırsızlıklar yapıldığını vurgulayan Kurt şunları aktarıyor:
“2FA kullanmama gibi nedenlerden dolayı veya borsanın kendi içerisinde oluşan bir açıktan dolayı borsa içerisindeki hesaplar boşaltılabiliyor. Bu gibi durumları engellemek için en güvenli yol, borsada işlem yaptıktan sonra kripto paranızı donanım cüzdanına çekerek orada saklamak olacaktır. Bu zamana kadar çok sayıda borsa yüklü miktarda Bitcoin çaldırdığını açıkladı. Bu piyasalara girmeden önce riskleri çok iyi anlamak ve analiz etmek gerekir.”
“Para Bir İllüzyondur”
Türkiye ihracatçılar Meclisi’nin (TİM) geçtiğimiz haftalarda düzenlediği Türkiye İnovasyon ve Girişimcilik Haftası’nın en çok ilgi uyandıran konuşmacılarından biri Bitcoin Vakfı Kurucu Direktörü Jon Matonis oldu. “Bitcoin Taht Oyunları” başlıklı konuşmasında Bitcoin’in ademi merkeziyetçi yapısı ile ticaretten siyasete tüm sistemi değiştireceğini aktaran Matonis, “Bitcoin paranın bir illüzyon olduğu gerçeğini ortaya çıkardı. Bitcoin kral çıplak diyen adamdır. 50 yıl sonra euro diye bir şey kalmayacak.
ABD’nin dolar üzerinden piyasalarda elde ettiği güç zayıflayacak. Devletlerin birbirleriyle olan ilişkileri ve siyaset dönüşüme uğrayacak” dedi. Para basmak için kurallara ihtiyacımız olmadığını, para biriminin de tıpkı lisan gibi kendiliğinden ortaya çıkabileceğini söyleyen Matonis’e göre, Swift’in kurduğu tekelleşme de Bitcoin ile kırılacak. Monoton dünya bitecek. Rezerv bankacılık neredeyse imkansız hale gelecek.
Devletler üstü bir para birimi olduğu için Bitcoin’in mali gözetimden kaçmak isteyenlere de bir fırsat verdiğini, bu nedenle yurtdışı sermaye hareketlerinin yasak olduğu Çin’de çok yaygın olarak kullanıldığını aktaran Matonis, “Artık bir insan sırf parası olduğu için vergi ödemek zorunda kalmayacak. Bu durum tıpkı Norveç’te olduğu gibi çalışma ve kazanma isteğinin önünü kesiyor. Mesela Kıbrıs’ta mevduat vergisi diye bir şey olduğunu duydum. Sırf parası var diye vergi veriyor insanlar, ileride devletler Bitcoin ile kişisel geliri tespit edemeyecekleri için tüketim vergilerine yönelecekler” dedi.
Siyaset üzeri bir para birimi olduğu için kriz dönemlerinde insanların Bitcoin ile birikimlerini güvence altına alabileceklerine de değinen Matonis, yakında dünyadaki tüm merkez bankalarının Bitcoine dayalı varlıkları temin etmek için rekabet etmeye başlayacağını vurguladı. Şu an dünyada 4-5 milyon Bitcoin’in kayıp olduğuna, şu an tespit edilemese de gelecekte süper bilgisayarlarla bunların bulunabileceğine de işaret eden Matonis, Bitcoin piyasa değerinin şu an için 220 milyar dolar olduğunu aktardı.
Altının ise toplam piyasa değeri 7.3 trilyon dolar. Matonis’e göre Bitcoin’in altına ulaşması için 400 bin dolara çıkması gerekiyor. JP Morgan ve Goldman Sachs gibi kurumlarm Bitcoin ticareti yaptığını hatırlatan Matonis sözlerini şöyle tamamladı:
“Birey olarak varlıklarını kendi kendine kontrol ediyorsun. Kimseye hesap vermiyorsun. Kimlik hırsızlığına ve mali gözetime karşı sizi koruyor. Sizi hacizlere karşı da koruyor. İlk işlemi 2009 yılında yapılan Bitcoin, uzaydan ses sinyallerini yakalamak için kurulan Search for Extraterrestrial Intelligence (SETİ) projesini 2013 yılında geçerek, dünyanın en büyük bilgi işlem projesi haline geldi.”
Ne yapmalı, ne yapmamalı?
- Kaspersky Lab Zararlı Yazılım Uzmanı Alexey Malanov kripto para sahipleri ve kripto yatırımcılar için şu tavsiyelerde bulunuyor.
- Öncelikle her zaman web cüzdan adresini doğrulayın ve internet bankacılığı ya da web cüzdan bağlantılarına tıklamayın.
- Para göndermeden önce alıcı adresini [en azından ilk ve son karakterleri) kontrol edin, gönderilen miktarı ve işlemle ilgili ücretin miktarını iki kez kontrol edin.
- Kaybettiğiniz veya parolanızı unuttuğunuz takdirde kripto cüzdanınızı kurtarmanızı sağlayacak hatırlatıcı bir cümle yazın.
- Kripto yatırım yaparken soğukkanlı olun ve bilinçli kararlar alın. Panik yapmayın veya acele etmeyin.
- Kripto yatırımın her zaman riskli olduğunu unutmayın. Kaybetmeye hazır olduğunuzdan daha fazlası bir miktarda yatırım yapmayın. Yatırımlarınızı çeşitlendirin.
- Kripto para için donanım cüzdanlar (hardware wallet) kullanın.
- Kripto cüzdanlara erişim ve kripto para alışverişi gibi işlemler için kullandığınız cihazları korumak için yüksek kaliteli antivirüs koruması kullanın.
60 milyon dolarlık vurgun şok yarattı
Her geçen gün daha sofistike hale gelen saldırıların son kurbanı ise Slovenya merkezli kripto para borsası Nicehash oldu. Karmaşık bir sosyal mühendislik ile gerçekleştirilen saldırıda, 60 milyon dolar değerinde yaklaşık 4 bin 700 Bitcoin çalındı. Nicehash saldırı sonrası tüm işlemleri durdurdu. Dünyanın en büyük vadeli işlem borsası CME’nin Bitcoin ile vadeli işlemlere başlamayı planladığı günden sadece sekiz gün önce böyle bir saldırının gerçekleşmesi zamanlama açısından dikkat çekiyor.
Güvenlik firması Forcepoint Labs, bu saldırıdan sadece birkaç gün önce e-ticaret ve kripto para odaklı çalışan Çuant adlı kötü niyetli bir yazılımın yeniden aktif olduğunu tespit etmişti. Son bir haftada Nicehash hack saldırısı ve Çuant’ın geri dönüşüyle büyük ölçekli iki Bitcoin hırsızlığı yaşandığına dikkat çeken Forcepoint Baş Bilimcisi Dr. Richard Ford, “Siber hırsızlar henüz mesaiye yeni başladı.
Bitcoin’in maddi değeri 15 bin doların üstünde seyretmeye başlarken, hem hacker’lar hem de ülkeler düzeyinde siber saldırılar için iştah açan bir hedef olarak cazibesi artacak. Yatırım yapmayı düşünenlerin kripto para hakkında bazı gerçekleri kabullenmesi gerek. Kripto para bir sihir ya da büyü değil, tıpkı normal para birimleri gibi çalınabiliyor ve üstelik çalıntı paranın aklanarak piyasaya döndürülmesi de standart paraya göre daha kolay” diyor.
Yakup Börekçioğlu / Trend Micro Genel Müdürü
Hesabı offline saklayın
Kullanıcıların Bitcoin hesaplarını internet bağlantısı olmayan bir disk üzerinde saklamaları gerekiyor.
Saldırganlar hesaplara fiziksel olarak ulaşamadıkları takdirde herhangi bir para transferi gerçekleştiremiyor. Buna ek olarak, para transferi esnasında geri döndürme ya da ödemeyi ters çevirim qibi seçenekler bulunmadığından, işleme başlamadan önce bütün verilerin doğru şekilde girildiğinden emin olunması gerekiyor.
Gürcan ŞEN / ESET Güvenlik Uzmanı
“Oltaya gelmeyin!”
Borsalarda çok ciddi dolandırıcılıklar oluyor. Aşırı abartılı reklamlara, ‘Bugün 100 yatır yarın 1000 al’ gibi tanıtımlara, paylaşımların altında söz konusu kripto paranın muhteşem olduğuna dair yorumların olduğu sayfalara dikkat edin, çoğu tuzaktır. Kripto para almak isteyenler Poloniex.com gibi güvenilir siteler haricinde yatırım yapmamalı.
Kripto para madencilerinin bilgisayarınızı zombi hale getirmesinden korunmak için de uyanık olmak gerekiyor. Spam maillerle veya sahte web siteleriyle bilgisayarınıza girebilirler. Flash Player’ı güncelle veya bilgisayarınızda virüs bulduk şurayı tıklayın gibi oltalamalara karşı dikkatli olunmalı.
Ahmet USTA / Blockchain 101 kitabının yazarı
Popüler borsalara benzer isimli tuzak siteler
Bitcoin sahiplerinin dikkat etmesi gereken en önemli nokta dijital cüzdanlarını güvenli ortamlarda tutmaları, cüzdanlarına ait özel anahtar bilgisini korumalarıdır. Kişisel olarak dijital cüzdan kullanmayıp Bitcoin varlıklarını borsalar üzerinde tutan kişiler içinse bu borsaların güvenliği önem taşıyor. Arama motorlarında yapılan armalarda kullanıcıları sahte ve tuzak sitelere yönlendirmek amacıyla popüler borsa isimlerine benzer yapıların reklamlar verdiğini görüyoruz. Kullanıcıların bu gibi tuzaklara karşı dikkatli olması gerekiyor.
Ürün Dirier