Binance Hesabinizi Hackerlardan Nasil Korursunuz?

Yazar
Ömür Çataltepe
Tarih
2021-10-28 11:53:14
Kategori
Genel

Mayıs 2019'da hackerlar, kripto dünyasını şaşkına çevirecek şekilde Binance’dan 7000 Bitcoin çaldı. Binance, saldırının bütün detaylarını şeffaf şekilde kamuoyu ile paylaştı ve ardından bu tür istismarların tekrarlanmasını önlemek için daha fazla önlem almaya devam etti. Ayrıca yatırımcılarının fonlarının bu olaydan etkilenmemesini sağladılar.

Bu makalemi yazdığım tarih itibariyle, o zamandan beri Binance üzerinde bilinen bir güvenlik ihlali olmamıştır. Dünyanın en büyük kripto para platformunda böyle bir güvenlik ihlalinin gerçekleşmesi, insanları daha da bilinçlendirdi ve insanlar hacklenme konusunda daha bilinçli hale geldi.

Kullanılan hacking teknikleri arasında, dışarıdan bakıldığında zararsız gözüken kimlik avı da vardı. Bu, bir hacking saldırısının belirli kişileri hedef almasını, onları gizli bilgilerini paylaşmaları için manipüle etmiş olmaları anlamına geliyor. Binance’ın gün geçtikçe daha da güvenli hale gelen protokolleriyle, artık doğrudan Binance kullanıcılarını hedef almaları zorlaştı. Binance, bu tür ataklara karşı — Phishing Code (Oltalama Engelleme Kodu) gibi tedbirler aldı. Tabii Binance her ne kadar yatırımcısına en iyi güvenlik imkanlarını sunmaya gayret etse de, bu tamamen yatırımcıların dikkati bağlı bir durumdur.

İsterseniz şimdi Binance hesabınızı Phishing saldırılarına ve diğer saldırılara karşı nasıl koruyacağınız konusuna değinelim.

Örnek bir kimlik avı girişimi

Kimlik avı, birisini e-posta veya diğer dijital kanallardan kandırarak kimlik bilgilerine ve kişisel bilgilerine ulaşmayı amaçlayan bir psikolojik manipülasyon biçimidir.

Kimlik avı genellikle diğer hacking yöntemlerinin yanı sıra, doğrudan sosyal mühendislik çatısı altındadır. Tüm bu yöntemler, kurbanın güvenini kazanmak ve bu güveni, kurbanı dolandırmak amacıyla kullanmak içindir.

Üst düzey bir Binance yöneticisi gibi birisini taklit etmek, güven kazanmanın yaygın bir yoludur. Başka bir yol ise, e-postadır. E-Posta gönderen adresin, güvenilir bir kaynaktan gelmiş gibi gösterilmesi de bu girişimlerin arasındadır. Dikkat ettiyseniz görseldeki göndericinin e-posta adresi ‘binannce.com’ adresine ait. Yazıları göz ucuyla okuyan insanlar için oldukça kurnazca bir kamuflaj yöntemi :)

Bazı dolandırıcılar korkuyu kullanırken diğerleri kurbanda panik oluşturmak için açgözlülük yöntemi kullanır. Korku uyandırmak için, bir savcı hatta bakan taklidi bile yapabilirler. Bu konuda dolandırıcıların yapabileceklerinin sınırı olmadığını lütfen unutmayın.

Kurbanların en çok yaşadığı 4 ruh hali: açgözlülük, güvenmek, korkmak, paniklemek

Bununla birlikte, hemen hemen her durumda, kurbana dolandırıcı tarafından ulaşılır, bunun tersi bir senaryo pek yaşanmaz. Dolandırıcı, kurbana e-posta, Telegram, SMS, Discord, WhatsApp, Twitter vb. platformlar vasıtasıyla ulaşabilir. Hatta bu gerçek bir posta bile olabilir. Haziran 2021'de sahte Ledger cihazları, hackerlara ait cüzdan şifreleri fiziksel olarak kurbanlara ulaştırılmıştı. Saldırı ortamı, durumdan duruma göre değişir. Örneğin, WhatsApp ve SMS tabanlı dolandırıcılık mesajlarının Malezya’da çok yaygın olduğu bildirilmektedir.

Hacker saldırısı, bu platformlardan herhangi birisinden gerçekleşebilir.

Dolandırıcılar, şanslarını arttırmak için insanları genellikle toplu olarak hedef alır ve herhangi birisinin yanıt vermesini bekler. Bir bağlantı kurulduğunda, hacker, kendisine ait sahte web sitelerine veya destek sayfalarına yönlendiren kötü niyetli bağlantılar kullanarak gizli bilgilere ulaşmaya çalışacaktır. Ayrıca keylogger veya clipboard hijackers yöntemleriyle de özel bilgilere ulaşabilirler. Clipboard Hijackers, klavyenizden kopyaladığınız verilerin hackerlara gizli şekilde aktarılması yöntemidir. Bunların dışında doğrudan size virüs içeren dosyalar gönderip bunları çalıştırmanızı isteyebilirler.

En tehlikeli senaryolardan birisi de, mağdurları tanıyan dolandırıcılardır. Bu kişiler hedeflerine nasıl yaklaşacaklarını çok iyi bildikleri için şansları oldukça yüksek olur. Bu siber operasyona ise spear phishing yani mızrak kimlik avı adı veriliyor. Muhtemelen Mayıs 2019'da Binance’da olan olay buna benzer olabilir.

Bunların hepsi çok yaygın dolandırıcılık mesajlarıdır- İlgili duygulara hitap eder ve bunların hiç birisi doğru değildir.

Evet, bir Binance üyesiyseniz veya yeni bir hesap açıp Binance kullanmaya başlamayı düşünen birisiyseniz, sizin için milyon dolarlık soru şudur: Kırmızı bayrakları nasıl tespit edebilir ve dolandırıcılık girişimlerini nasıl belirleyebilirsiniz? Binance hesabınızı dolandırıcılardan nasıl korursunuz?

  • Bir e-posta alırsanız, size gönderilen e-postada BCC olup olmadığını kontrol edin. Bu, toplu bir kimlik avı e-postası olabilir. Resmi e-postalar, alıcılara BCC koymaz.
  • Kimlik avı mesajlarında genellikle yazım hataları, dilbilgisi hataları bulunur. Ancak resmi mesajlar özenle hazırlanır.
  • Kimlik avı e-postaları Binance dışındaki e-postalardan gönderilir. Bununla ilgili örnekleri buraya tıklayarak görebilirsiniz.
  • Dolandırıcılar, sizi Binance dışındaki sitelere yönlendirmeye çalışacak. Bir linkin sizi nereye götüreceğini görmek için, imleci linkin üzerine götürün ve linkin üzerindeki gideceğiniz adresi teyit edin. Bununla ilgili bir örnek vereyim. Bu linkte Binance.com gözüküyor ama tıklandığında gidilen adres farklı :) Binance.com
Sahte linke dikkat edin
  • Binance yetkilileri asla ilk mesajı atmaz. Yani Binance çalışanı olduğunu iddia eden birinden Telegram, Twitter, Discord vb. platformlarından herhangi bir mesaj alırsanız bunu bir kimlik avı operasyonu olarak düşünebilirsiniz.
  • Bazen Twitter yanıtlarında parola, 2FA (2 Aşamalı Doğrulama) Kurtarma Anahtarı, gizli kurtarma ifadesi, private key (özel anahtar), API Kodu gibi bilgiler isteyen sahte destek formları hazırlanır. Binance desteği sizden asla özel bilgilerinizi istemez.
  • Dolandırıcılar genellikle kurbanlarından virüslü dosyaları indirmelerini ister. Resmi Binance yazışmaları, ekte dosya göndermez.
  • Sahte web siteleri, Binance sayfalarına benzeyecek ve gizli bilgilerin girilmesini gerektirecek şekilde yapılabilir. URL’de Kiril karakterlerine çok dikkat edin. Çünkü bu karakterler web sitesi adını kamufle etmek için kullanılabiliyor. Örneğin, Ї, И, П, Б, Є, Ё, Д, С́, ё, č vb.
Linkleri her zaman iki kez kontrol edin
  • Bütün resmi Binance linkleri, e-posta adresleri, telefon numaralarını Binance Verify sayfasından teyit edebilirsiniz.
  • Sosyal medya hesaplarınız veya kişisel amaçlarınız için kullandığınız e-posta adreslerinizle Binance’a kayıt olmanızı pek tavsiye etmem. Ayrı bir e-posta açmanızı hatta mümkünse direkt telefon numarası kullanmanızı tavsiye ederim.
  • Bilgisayarınıza bir anti-virüs yazılımı kurmanızı tavsiye ederim. Anti-virüs yazılımlarınızı devamlı güncel tutmalısınız çünkü virüs veritabanları ve yapay zekalar devamlı güncellenir. Eski ve güncellenmeyen bir anti-virüs, yeni nesil bir virüsü tespit edemeyebilir!
  • Bazı anti virüsler, finansal işlemleriniz için sandboxed yani korumalı bir web tarayıcısı kullanmanıza olanak sağlar.
  • Resmi Binance web sayfalarının tamamı https protokolünü kullanır, http değil. Binance’ın SSL sertifikaları güncel olur. Bu konuya da çok dikkat etmelisiniz.
  • Muhtemelen bu tavsiyeyi çoğu yerde duymuşsunuzdur. Ama tekrar duymanın ziyanı yok :) Binance hesabınız için güçlü bir şifre kullanmalısınız. — 8'den fazla karakter, harf (büyük ve küçük), rakamlar ve özel karakterlerden oluşan bir kombinasyon olmalıdır. Sizi tanıyan insanlar sosyal mühendislik yaparak şifrenizdeki kombinasyonları tahmin edememeli.
  • Hesap şifrelerinizi düzenli olarak değiştirin, kimseyle paylaşmayın. Mümkünse hiç bir yerde saklamayın, hafızanızda tutun.
  • Dolandırıcılar, genellikle kullanıcıları sahte bir web sitesine yönlendiren reklamlar koyarlar. Reklamlara tıklamayın. Örneğin, Google aramalarında bu dolandırıcılık reklamları göstermek için Google reklam kelimelerinde belirli anahtar kelimeleri kullanarak reklamlarını size ulaştırabilirler.
  • Bir donanım (YubiKey / Ledger) veya yazılım (Google 2FA) kullanarak 2 faktörlü doğrulamayı mutlaka etkinleştirmelisiniz. YubiKey kullanılan 2FA, en güvenlisi olarak kabul edilir. Yazılım olanlarda ise Google Authenticator tercih edilebilir, SMS de kullanılabilir ancak SIM-Swapping (Takas) Dolandırıcılığı yöntemi nedeniyle bu riskli olabilir.
  • Hesabınızda 2FA etkinleştirdiğinizde, hackerlar parolanızı öğrense bile hesabınıza erişemez. Tabii Session Hijacking dediğimiz yöntemde düşük bir ihtimal de olsa hesaba giriş yapılabilir ancak 2FA nedeniyle fonlar çekilemeyeceği için fonlarınızın çalınması konusunda bir tehdit oluşturmaz diyebiliriz.
  • 2FA kullanmak ve etkinleştirmek için hesabınızın Güvenlik Ayarları’na gidin ve 2FA’yı etkinleştirin.
  • Güvenlik ayarlarından, Binance hesabınıza giriş yapabilecek yetkili cihazları da yönetebilirsiniz. Ayrıca yalnızca belirli cüzdanlara çekim yapılabilmesini sağlayan Whitelist yani Beyaz Liste dediğimiz güvenlik prosedürünü de etkinleştirerek fonlarınızı daha da güvenli hale getirebilirsiniz.
  • Ayrıca Binance, Binance’dan gelecek resmi e-postalarını tanıyabilmeniz için Phishing Code yani Kimlik Avı Engelleme Kodu prosedürünü kullanmanıza olanak sağlar. Örneğin “q1w2e3r4” bir Phishing Code olabilir ve size gelen e-postalarda bu kodu gördüğünüzde Binance’dan geldiğini anlayabilirsiniz. Ancak bu kodun tahmin edilme olasılığına karşı, e-postanın güvenli bir kaynaktan geldiğinden emin olmak için, makalemde değindiğim diğer güvenlik adımlarını da uygulayınız.
Hesap Güvenliği | Binance.com

Görseldeki güvenlik prosedürlerini etkinleştirerek fonlarınızı güvence altına almanızı öneririm.

Hesabınızda herhangi bir şüpheli hareketlilik görürseniz, hesabınızı acilen devre dışı bırakmalı ve Binance Canlı Destek ekibine bildirmelisiniz. Bir şey gerçek olamayacak kadar iyi görünüyorsa (Örnek: “1 BNB gönder, 2 BNB al”), o muhtemelen gerçek değildir :) En ufak bir şüphe uyandıran veya sizi endişede hissettiren herhangi bir kampanya muhtemelen bir aldatmacadan ibarettir — Sizi şüpheli bir şey hakkında uyarmak için içgüdüleriniz uyarıyor :)

Kriptoda altın kural: Kendini dolandırıcılardan koru

Bütün bunlardan yapılacak en önemli çıkarım, dolandırıcıların size ulaşmak için yüzlerce kılığa bürünebileceğidir. Binance, bunlara karşı sizi korumak için bir çok önlem sunsa da olayın tamamen sizin dikkatli ve temkinli birisi olmanıza bağlı olduğunu unutmayınız.

Binance’a Üye Olun | %20 komisyon indirimi

Binance’a, ömür boyu %20 komisyon indirimi kazanabileceğiniz avantajlı referans linkimle üye olmak için buraya tıklayınız.

Sorumluluk Reddi Beyanı:: Yazar, Binance platformunda yaşanabilecek güvenlik zaafiyetlerinden sorumlu değildir. Okurların, Binance hesaplarında güvenlik adımlarını etkinleştirmek okurun menfaatine olacaktır. Yazar ayrıca cömert katkıları, anektodları ve araştırmaları için Abhijoy Sarkar ve Saurabh Hasija’ya teşekkür eder.