Cüzdan 14 dk okuma

Sahte Cüzdan Uygulamaları ve Oltalamadan (Phishing) Korunma

Kripto Editor Yazar Kripto Editor
Sahte Cüzdan Uygulamaları ve Oltalamadan (Phishing) Korunma

Kripto cüzdanı uygulamaları için arama motorunda üst sıralara çıkan reklamlara tıklamak bile artık tehlikeli. 2026 yılında yalnızca Ocak ayında kripto phishing saldırıları 300 milyon doların üzerinde kayba neden oldu; MetaMask kullanıcılarını hedef alan sahte "2FA doğrulama" e-postası kampanyası, birkaç gün içinde onlarca cüzdanı boşalttı. Bir cüzdanın özel anahtarı ya da kurtarma ifadesi ele geçirildiğinde blokzincirinin geri alınamaz yapısı devreye girer, fonlar saniyeler içinde gider ve hiçbir banka veya düzenleyici kurum devreye giremez. Sahte cüzdan uygulamaları ve phishing tehditleri bu yüzden kripto güvenliğinin merkezindedir.

Bu yazı, tehditlerin teknik mekanizmalarını, saldırıların nasıl tespit edileceğini ve katmanlı bir savunma yapısının nasıl kurulacağını ele alıyor. Coin tavsiyesi içermez; amaç yalnızca dijital varlık güvenliğini anlamlandırmaktır.

Sahte cüzdan uygulaması nasıl çalışır?

Sahte cüzdan uygulaması nasıl çalışır?

Sahte cüzdan uygulamaları, meşru bir cüzdan yazılımının görsel kopyasıdır: logo, renk paleti ve buton yerleşimi birebir taklit edilir. Asıl fark arka planda yatar: uygulama, kullanıcı cüzdan oluşturduğunda veya mevcut cüzdanını "içe aktarmak" için kurtarma ifadesini girdiğinde tüm bu verileri bir komuta-kontrol sunucusuna iletir.

Kaspersky araştırmacıları, Apple App Store'da en az 26 sahte kripto cüzdan uygulaması tespit etti; bu uygulamalar kullanıcıları phishing sayfalarına yönlendirirken cüzdan verilerini de sızdırdı. Check Point Research'ün incelediği bir vakada, Google Play'e sızan tek bir sahte cüzdan uygulaması 10.000'den fazla indirme gerçekleştirdi ve yaklaşık 70.000 dolarlık kripto çalındı. Dağıtım kanalları üç kol üzerinden ilerler:

Üçüncü taraf mağazalar ve sahte web siteleri

Resmi siteyi piksel piksel kopyalayan sayfalara Google Ads veya sosyal medya reklamlarıyla trafik çekilir. MetaMask'ın Google Arama reklamları üzerinden yürütülen phishing kampanyası bu yöntemin iyi belgelenmiş bir örneğidir.

Resmi mağazalara sızma

Saldırganlar ilk sürümü temiz yükler, ardından sonraki güncellemelerle kötü amaçlı kodu ekler. Google ve Apple dönem dönem bu uygulamaları tespit edip kaldırır, ancak çoğu zaman yükleme ve hasar arasındaki süre kısa olur.

Ele geçirilmiş geliştirici hesapları

Güvenilirlik puanı yüksek bir hesap satın alınır veya ele geçirilir; bu sayede uygulama mağaza algoritmalarını daha kolay geçer ve kullanıcı güvenini daha hızlı kazanır.

Uygulama yüklendikten sonra iki farklı saldırı yolu izlenir. Birincisi, kurtarma ifadesi doğrudan sunucuya gönderilir; ikincisi, gönderim ekranında alıcı adres gizlice saldırganın adresiyle değiştirilir. İkinci yöntem, fark edilmesi özellikle güç olandır: kullanıcı işlemi yapıyor gibi göründüğü hâlde fonlar farklı bir yere gider.

Phishing saldırıları hangi psikolojik kancaları kullanır?

Phishing, teknik bir saldırı değil sosyal mühendislik saldırısıdır. Teknik sistemleri hacklemek yerine kararları manipüle eder. Üç ana kanca vardır:

Aciliyet ve korku

"Hesabınız 24 saat içinde askıya alınacak" mesajı, kullanıcının doğrulama yapma süresini ortadan kaldırır. Panik altında alınan kararlar genellikle kontrol adımlarını atlar. MetaMask'ı hedef alan 2FA phishing kampanyasında saldırganlar, geri sayım sayacı içeren sahte güvenlik doğrulama ekranı tasarladı ve böylece kullanıcı "2FA'yı tamamladım" diye düşünürken aslında kurtarma ifadesini teslim etti.

Açgözlülük ve kayıp korkusu

"Bedava token dağıtımına katılın" veya "NFT kazandınız, şimdi talep edin" mesajları, kullanıcının potansiyel bir kazancı kaçırmama dürtüsünü harekete geçirir. Onay phishing (approval phishing) saldırılarında bu mekanizma doğrudan kullanılır: saldırgan, cüzdana küçük bir token aktarır ve bu tokeni "talep etmek" için cüzdan izni imzalatır. İmzalanan işlem aslında saldırgana sınırsız token transfer yetkisi verir.

Otorite taklidi

Saldırganlar kripto borsaları, MetaMask destek ekibi veya bilinen proje kurucuları gibi görünür. 2024'te bir OKX kullanıcısı 2 milyon doları aşan bir varlığını, sosyal medyadan edinilen kişisel verileri kullanan ve deepfake video aracılığıyla kimlik doğrulamasını geçen bir saldırıda kaybetti. Teknik hiçbir araç kullanılmadı; yalnızca yanıltıcı bir video yeterliydi.

Adres zehirleme ve pano korsanlığı nedir?

Bu iki saldırı türü, kullanıcının gönderme ekranındaki cüzdan adresini manipüle eder. Fark edilmeden büyük miktarları götürebilir.

Adres zehirleme (address poisoning)

Saldırgan, hedef kullanıcının işlem geçmişinde görünen adreslere çok benzeyen, ilk ve son birkaç karakteri aynı olan, sahte bir adresten küçük miktarda işlem gönderir. Kullanıcı geçmişten adresi kopyaladığında orta kısım farklı olduğu hâlde kopyalanmış adres saldırgana ait olur. Bu yöntemle tek bir BNB Chain operasyonunda yaklaşık 2,6 milyon dolarlık USDC çalındı; tek bir USDT işleminde kayıp 50 milyon dolara ulaştı.

Pano korsanlığı (clipboard hijacking)

Cihaza bulaşan kötü amaçlı yazılım (clipper malware), kullanıcının kopyaladığı cüzdan adresini otomatik olarak saldırganın adresiyle değiştirir. Mart 2026'da "Torg Grabber" adlı yazılım 728 kripto cüzdanını bu şekilde hedef aldı; izlediği adres listesi önceki benzer yazılımların 4-5 katıydı. Kullanıcı yapıştırdığı adresi fark etmeden onaylarsa fonlar doğrudan saldırgana gider.

Her iki saldırıya karşı tek geçerli önlem aynıdır: transfer öncesi adresi karakter karakter doğrulamak ve kopyala-yapıştır yerine cüzdan adres defterini kullanmak.

Kötü amaçlı Google reklamları ve sahte destek kanalları nasıl tespit edilir?

Mayıs 2026'da Uniswap kullanıcılarını hedef alan sahte Google reklamları 400.000 dolarlık çalıntıya neden oldu. Reklam, "Uniswap" anahtar kelimesini kapsıyor ve meşru görünen bir URL içeriyordu; tıklandığında seed phrase isteyen bir klona yönlendiriyordu. Arama motorunun en üstündeki "Sponsorlu" etiketli linkler bu nedenle dikkatli okunmalıdır; meşru protokollerin reklam vermesi nadirdir.

Sahte destek kanalları Discord, Telegram ve Twitter/X üzerinde yoğunlaşır. Meşru destek kanallarının ayırt edici özelliği şudur: hiçbir meşru cüzdan sağlayıcısı kullanıcıya DM atarak kurtarma ifadesi veya özel anahtar istemez. MetaMask bu konuda açık bir politika yayınlamıştır: destek ekibi, kullanıcıdan gizli bilgi talep eden bir yazışma başlatmaz. Benzer şekilde Ledger, resmi iletişimde cüzdan bilgisi talep etmez.

Sahte bir web sitesini tanımanın pratik yolu: adres çubuğunu okumak. Typosquatting (yazım tuzağı) yöntemiyle oluşturulan "metamassk.io" veya "binance-security.info" gibi adresler görsel olarak benzerdir ama domain farklıdır. Sık kullanılan kripto platformlarını tarayıcı yer imlerine kaydedin ve arama motoru bağlantısına değil doğrudan yer imine tıklayın. Ledger, MetaMask veya başka bir cüzdan uzantısı indirirken yalnızca ilgili projenin resmi web sitesinde listelenen mağaza bağlantısını kullanın; arama motoru sonuçlarına güvenmeyin.

Tarayıcı cüzdan uzantıları için ekstra dikkat gerekir: Phantom cüzdanı gibi tarayıcı tabanlı cüzdanları kurarken uzantının geliştiricisini ve indirme sayısını resmi web sitesiyle karşılaştırın. Phantom'ın Chrome uzantısının indirme adresini doğrudan bu rehberde bulabilirsiniz. Aynı kural Argent X gibi Starknet cüzdanları için de geçerlidir: Argent X kurulum rehberi resmi kaynak olarak kullanılabilir.

Kurtarma ifadesini (seed phrase) doğru nasıl saklarım?

Kurtarma ifadesini (seed phrase) doğru nasıl saklarım?

BIP-39 standardına göre üretilen 12 veya 24 kelimeden oluşan kurtarma ifadesi, cüzdanın tüm özel anahtarlarını türetir. Bu ifade ele geçirilirse hangi cihazı, uygulamayı ya da şifreyi kullandığınız önemsiz kalır: saldırgan tüm varlıklara erişir. Dolayısıyla kurtarma ifadesinin saklanma biçimi, diğer tüm güvenlik önlemlerinden önce gelir.

Dijital kayıt kesinlikle önerilmez: bulut depolama, not uygulamaları, ekran görüntüsü veya e-posta taslağı, cihaz ya da hesap ele geçirildiğinde bu ifadeyi de teslim eder. Fiziksel kağıt bir alternatif sunar ama su ve yangına karşı dayanıksızdır. Uzun vadeli saklama için paslanmaz çelik veya titanyum plakalar üzerine damgalama yöntemi tercih edilir; bu plakalara "Cryptosteel" benzeri ticari ürünler de dahildir. Ledger'ın Recovery Key kartı, ifadeyi Secure Element çipinde PIN korumalı olarak saklayan donanım tabanlı bir alternatif sunar.

Yedek kopya sayısı da önemli. Tek kopya fiziksel felaket riski taşır; iki farklı güvenli konumda muhafaza etmek minimum standarttır. MetaMask'ın resmi kurulum belgeleri, kurtarma ifadesini cihazdan bağımsız çevrimdışı bir ortamda saklamayı açıkça zorunlu gösterir. MetaMask yardım merkezine göre bu ifade kaybolduğunda cüzdana erişim kalıcı olarak yitirilebilir, destek ekibi kurtarma yapamaz.

Donanım cüzdanı neden farklı koruma sağlar?

Donanım cüzdanı neden farklı koruma sağlar?

Yazılım cüzdanları özel anahtarları internet bağlantılı bir cihazda tutar. Cihaza bulaşan kötü amaçlı yazılım, tarayıcı uzantısı güvenlik açığı veya sahte uygulama bu anahtarlara erişebilir. Donanım cüzdanları (soğuk cüzdan) özel anahtarı çevrimdışı bir Secure Element çipinde saklar ve işlem imzalamayı yalnızca fiziksel onay gerektiren cihaz ekranı üzerinden gerçekleştirir.

Bu yapının kritik avantajı şudur: bilgisayar kötü amaçlı yazılımla ele geçirilmiş olsa bile özel anahtar cihazdan asla çıkmaz. İşlemi imzalamak için kullanıcının fiziksel olarak düğmeye basması gerekir. Ledger cihazları CC EAL5+ sertifikalı Secure Element çipi kullanır; Trezor ise açık kaynaklı donanım tasarımıyla topluluk denetimine açık bir güvenlik modeli benimser.

Ağustos 2025'te yaşanan en büyük DeFi güvenlik ihlallerinden birinde, Bybit olayında, Lazarus Grubu, imzalama arayüzünü manipüle ederek çalışanların kör imzalama yapmasını sağladı ve 1,5 milyar dolarlık ETH'yi ele geçirdi. Donanım cüzdanının "Clear Signing" özelliği bu tür saldırılara karşı, işlem içeriğini cihazın ekranında okunabilir biçimde göstererek doğrudan savunma sağlar. Ethereum Vakfı, Mayıs 2026'da Ledger ve diğer cüzdan sağlayıcılarıyla birlikte bir Clear Signing standardı yayınladı.

Büyük miktarda kripto varlığı MetaMask gibi sıcak cüzdanlarda tutuyorsanız, bir donanım cüzdanını MetaMask ile eşleştirip anahtarları çevrimdışında tutmayı değerlendirin. Bu yapıda MetaMask arayüz görevi görürken Ledger veya Trezor anahtarları fiziksel onay mekanizmasıyla korur.

İki faktörlü kimlik doğrulama (2FA) ve SIM swap saldırısı

Borsa hesapları için 2FA, bir saldırgan şifreyi ele geçirse bile hesaba erişimi engeller. Ancak SMS tabanlı 2FA, SIM swap saldırısına karşı savunmasızdır: saldırgan mobil operatörü sosyal mühendislikle ikna ederek telefon numarasını kendi SIM kartına aktarır ve mesajları ele geçirir. 2023-2026 arası dönemde belgelenmiş SIM swap kayıpları kripto sektöründe 200 milyon doları aştı.

TOTP tabanlı kimlik doğrulama uygulamaları (Google Authenticator, Authy veya Microsoft Authenticator) bu riski ortadan kaldırır: kodlar cihazda yerel olarak üretilir, hücresel ağ üzerinden iletilmez. Operatör manipülasyonu bu süreçte hiçbir rol oynamaz. Büyük borsalar ve güvenlik araştırmacıları SMS 2FA yerine uygulama tabanlı 2FA'yı standart güvenlik gereksinimi olarak önerir. Google Authenticator yedekleme rehberi, uygulama tabanlı 2FA'yı kayıpsız aktarmanın adım adım yolunu gösterir.

Sıkça Sorulan Sorular

Bir cüzdan uygulamasının sahte olduğunu nasıl anlarım?

Uygulamanın geliştirici adını projenin resmi web sitesindeki bilgiyle karşılaştırın. Google Play'de MetaMask'ın 10 milyon üzerinde indirmesi ve "Consensys" geliştirici adı vardır; bu bilgileri doğrudan metamask.io üzerinden teyit edebilirsiniz. Uygulama mağazasına arama yaparak değil, resmi siteden mağaza bağlantısına tıklayarak ulaşmak güvenli yoldur. Yükleme sonrası cüzdanınız beklenmedik bir "kurtarma ifadesi girin" ekranı gösteriyorsa ve bu isteği tetikleyen bir eylem yoksa hemen uygulamayı silin ve cihazı tarayın.

Kurtarma ifademi (seed phrase) yanlışlıkla paylaştıysam ne yapmalıyım?

Derhal harekete geçin. Kurtarma ifadesi ele geçirildiği anda cüzdandaki tüm varlıklar risk altındadır. Yapılacak ilk şey, fonları farklı bir kurtarma ifadesiyle kurulmuş yeni bir güvenli cüzdana transfer etmektir.

Saldırganlar bazen saatler içinde harekete geçer, bu yüzden her dakika önemlidir. Fonlar aktarılamadan çalınırsa blokzincirinin geri alınamaz yapısı nedeniyle kurtarma büyük olasılıkla mümkün olmayacaktır. Olayı Türkiye'deki yetkililere ve kullandığınız platformlara bildirmek ek adım olabilir, ancak bu genellikle fonları geri getirmez.

Adres zehirleme saldırısından nasıl korunurum?

Transfer ekranında adresi yalnızca ilk ve son karakterlere bakarak onaylamayın; tüm adresi karakter karakter doğrulayın. İşlem geçmişinden adres kopyalamak yerine cüzdanın adres defterindeki kayıtlı adresleri kullanın. Büyük transferlerden önce küçük bir test miktarı gönderin. Trust Wallet gibi bazı cüzdanlar adres zehirleme koruması sunan yerleşik filtreler geliştirmiştir; bu özellikleri aktif tutun.

Donanım cüzdanı satın aldım, sahte çıkabilir mi?

Evet. İkinci el donanım cüzdanları veya resmi olmayan kanallardan satın alınanlar fiziksel olarak değiştirilmiş olabilir; özel anahtar üretimi başlangıçtan itibaren ele geçirilmiş olur. Ledger ve Trezor yalnızca kendi resmi web sitesi ve yetkili satıcı ağından satın alınmalıdır.

Kutuyu açtığınızda cihaz önceden kurulmuş geliyorsa ve bir kurtarma ifadesi kartı içinde bulunuyorsa, bu kurtarma ifadesi saldırgana aittir. Meşru bir donanım cüzdanında başlangıç kurulumunu her zaman siz yaparsınız ve cüzdan size rastgele bir kurtarma ifadesi üretir.

Onay phishing (approval phishing) nedir ve nasıl çalışır?

Saldırgan, meşru bir DeFi protokolü veya NFT dapp'i gibi görünen bir sayfa oluşturur ve kullanıcıdan cüzdanını bağlamasını ister. Bağlantıyı onayladıktan sonra "işlemi tamamlamak için imzalayın" diye bir token onayı (approve transaction) sunulur. İmzalanan işlem aslında saldırgana belirli token'lar üzerinde sınırsız harcama yetkisi verir.

Kullanıcı o anda fark etmez; saldırgan ilerleyen günlerde cüzdanı boşaltır. Korunma yöntemi: imzalamadan önce işlemin tam içeriğini okuyun; "approve" içeren işlemlerde izin verilen miktarı ve alıcı adresi doğrulayın. Artık ihtiyaç duymadığınız sözleşme izinlerini revoke.cash gibi araçlarla iptal edin.

Kripto borsasındaki varlıklarım cüzdanda mı daha güvenli?

Borsa hesabı, borsanın güvenlik altyapısına bağlıdır; büyük borsalara yönelik başarılı saldırılar tarihsel olarak kayda değer kayıplara yol açmıştır. Kendi gözetiminizdeki (self-custody) cüzdan ise güvenliği size devreder, saldırı yüzeyi değişir, sorumluluk da. Büyük miktarlar için donanım cüzdanı en güçlü seçenek olmaya devam eder; küçük miktarlar ve sık işlemler için güvenilir bir yazılım cüzdanı makul bir denge sunar. Varlıkları tek bir sepete koymak, ister borsa olsun ister tek bir cüzdan, tek bir arıza noktası yaratır.

Kripto piyasaları çok hızlı değer kaybedebilir. Bu yazı yatırım tavsiyesi değildir; bu alandaki her şeyi kaybetmeyi göze alabileceğiniz parayla yapın.

Sahte cüzdan uygulaması veya phishing saldırısı karşısında yapılacak tek şey hız değil, doğru yönü seçmektir: kurtarma ifadesini kimseyle paylaşmamak, her transferde adresi tam doğrulamak ve anahtarları çevrimdışı tutmak. Bu üç kural ihlal edilmediği sürece saldırıların büyük çoğunluğu fonlara ulaşamaz.

Yazar

Kripto Editor

KriptoGetiri ekibinin deneyimli içerik editörü. Blockchain teknolojisi, kripto para piyasaları ve DeFi ekosistemi üzerine uzmanlaşmış. 8 yılı aşkın süredir kripto para sektörünü aktif olarak takip ediyor.

Daha fazla yazı
Kripto Editor

Tartışmaya Katılın