BtcTurk Siber Güvenlik Direktörü

Emre Yılmaz

 

BtcTurk Siber Güvenlik Direktörü Emre Yılmaz, Fintechtime okurları için kaleme aldı, “Farkındalığınız kadar güvendesiniz”.

Bitcoin ve merkeziyetsiz diğer kripto paralar Blockchain teknolojisi ile doğal olarak güvenli ve süreklidir. 11 yıldır hiç durmayan Bitcoin ağı hiçbir siber saldırıdan etkilenmemiştir. Bu sıra dışı yapı üzerine inşa edilmiş kripto varlıklar nasıl riske girer sorusuna verilen cevap neredeyse tektir: İnsan odaklı sosyal mühendislik siber saldırıları, yani çoğunlukla oltalama (Phishing) saldırıları.

Phishing, siber güvenlik tarihinin en eski ve en etkili saldırılarından biridir. Tüm teknolojik gelişmeler ve önlemlere rağmen saldırganlar tarafından sıklıkla kullanılır. Hala yoğun olarak tercih edilmesinin sebebi oltalama saldırılarının hedefe ulaşmanın en hızlı, en kolay ve en maliyetsiz yolu olmasıdır. Oltama saldırıları geniş kitlelere rastgele yapılabildiği gibi, bir topluluğa ya da kişilere özel olarak da yapılır. Bu hareket kabiliyetinden dolayı oltalama saldırılarından “bana mı rastlayacak, kim beni nereden bulsun?” düşüncesi ile korunmak mümkün değildir. Müşterisi olduğunuz banka veri tabanından size ulaşılabildiği gibi, üyesi olduğunuz bir sosyal toplulukta gerçekleşen bir sızıntı ile de hedef olabilirsiniz. Saldırganların Bitcoin gibi güvenli bir yapıdan çıkar sağlamak için başvurabileceği ilk saldırı metotlarından biri oltalama saldırılarıdır.

 

Oltalama saldırıları size gelen bir e-postaya eklenmiş PDF fatura görünümlü zararlı bir dosya ile gelebildiği gibi, saldırganların verdiği Google reklamları ile aramanız manipüle edilerek de karşınıza çıkabilir. Aynı diğer siber saldırılarda olduğu gibi oltalama saldırılarından korunmanın da bir matematiği yoktur. Ancak birkaç temel prensip ile büyük ölçüde oltalama saldırılarından korunabiliriz.

1- Gereksiz bilgi vermeyin,

Hiçbir kriptopara borsası ya da başka bir şirket kesinlikle sizi arayıp herhangi bir linke tıklamanızı, SMS ile gelen şifreyi ya da Authenticator (2FA) kodunuzu paylaşmanızı istemez. Soğuk cüzdana transfer, varlıklarınız siber saldırıdan etkilenmiş, güvene almak için 2FA kodunuzu bizimle paylaşın gibi talepleri cevaplamayın. Şüpheli durumlarda telefonu kapatarak borsayı doğrudan siz arayın.

2- Arama Motorlarının Doğru Kullanımı,

Ulaşmak istediğiniz web sitesini kesinlikle arama motorlarında aramayın. Oltalama saldırılarının büyük bölümünde “arama motorlarına reklam verme” metodu kullanılır. Bu metodda popüler sitelerin sahteleri yapılarak, arama motorlarına reklam verilir. Arama yaparak gelen ilk sonuca tıkladığınızda, aslında girdiğiniz site ulaşmak istediğiniz siteye çok benzeyen sahte bir site olabilir. Gideceğiniz sitenin adresini mutlaka, üşenmeden adres satırına yazınız. Sıklıkla kullandığınız siteleri favorilere eklemek iyi bir fikirdir.

3- Alan adları ve SSL

Gelen bir e-posta içerisinde tıkladığınız link ya da başka siteden yönlendirildiğiniz sitenin alan adına çok dikkat edilmelidir. Punny karakter olarak adlandırılan karakterler ile latin alfabesinde olmayan ancak latin harfi karakterlerine çok benzeyen karakterler ile site adınız manipüle edilebilir. Site eğer SSL ile korunmuyorsa bu sitenin sahte olduğu yönünde güçlü bir delildir. Ancak SSL ile korunması da sitenin doğru site olduğunu göstermez. Şüpheli durumlarda alan adına çok dikkat edip, gerekirse siteye elle yazarak ulaşmak doğru davranıştır.

 

Uzun süreli yatırımlarınızı borsalarda saklamak istemezseniz varlıklarınızı saklamanın en güvenli yolu soğuk cüzdan kullanmaktır. Soğuk cüzdan, internete bağlı olmayan fiziksel bağlantı gerektiren cüzdanlardır. Mobil cüzdanlar, masaüstü cüzdanlar soğuk cüzdan değildir. Mobil ve masaüstü cüzdanlar da güvenlidir ancak internete bağlı olduklarından oltalama ve diğer siber saldırılara karşı çok daha korunmasızdır. 

İster mobil / masaüstü, ister donanım cüzdan kullanın kripto varlıklarınızı kendi cüzdanınızda saklamak bu varlıkların tüm sorumluluğunu borsadan alıp, size verir. Kendi cüzdanınızı yönetip hiçbir otoriteye bağımlı olmadan kendi bankanız olmak harikadır. Ancak bu konuda yeterli tecrübeye sahip olmadığınızı düşünüyorsanız kesinlikle kötü bir fikirdir. Bu konudaki risk sadece varlıklarınızı çaldırmak değildir. Cüzdanınızın şifresini ya da tohum kelimelerini (seed) unuttursanız varlıklarınıza erişimi kaybedebilirsiniz.

Donanım cüzdanlar en güvenli saklama metodu olsa da sizin farkındalığınız kadar güvendedir.