Phishing (Oltalama) Saldırıları: Sahte DeFi Sitelerini Ayırt Etme Teknikleri
Kripto para piyasaları 2026 yılında kurumsal olgunluğa erişmiş olsa da, siber suçluların kullandığı yöntemler de aynı hızla evrimleşti. Merkeziyetsiz Finans (DeFi) dünyasında varlıklarınızı kaybetmenin en hızlı ve en sinsi yolu, artık sadece kod hataları veya piyasa çöküşleri değil, bizzat insan psikolojisini hedef alan Phishing (Oltalama) Saldırılarıdır. Bir sabah cüzdanınızdaki tüm varlıkların buharlaştığını görmek, genellikle “gerçeğinden ayırt edilemeyen” sahte bir web sitesine bağlanıp masum görünen bir işlemi imzalamanızla başlar. Bu dijital avlanma sahasında, en büyük güvenlik açığı yazılımda değil, kullanıcının dikkatsizliğindedir.
Bitay olarak hazırladığımız bu kapsamlı rehberde, siber korsanların 2026 yılında kullandığı “Ice Phishing” gibi ileri düzey teknikleri, Google reklamlarına sızan tuzakları ve Discord üzerinden yayılan sahte airdrop kampanyalarını en ince detayına kadar analiz edeceğiz. Dijital varlıklarınızı korumak için bir siber güvenlik uzmanı gibi düşünmenizi sağlayacak bu “Masterpiece” içerik, Bitay Defi Analizi 2026’nın En Kapsamlı Rehberi vizyonumuzun en hayati parçalarından biridir.
- Web3 Phishing Nedir? Geleneksel Oltalamadan Farkı
- Saldırı Anatomisi: Cüzdanınızı Nasıl Boşaltıyorlar?
- Yaygın Tuzaklar: Google Ads, Discord ve Sahte Airdroplar
- Teknik Tespit Yöntemleri: Domain ve SSL Analizi
- İmza Türlerini Tanımak: Permit ve SetApprovalForAll
- Homograf Saldırıları: Göz Yanılması ile Hırsızlık
- Korunma Stratejileri: Bookmark ve Güvenlik Eklentileri
- Acil Durum: Phishing Sitesine Bağlandım, Ne Yapmalıyım?
- Sıkça Sorulan Sorular (SSS)
Web3 Phishing Nedir? Geleneksel Oltalamadan Farkı
Geleneksel Web2 dünyasında phishing, genellikle sahte bir banka sitesine şifrenizi girmenizi sağlamayı hedefler. Ancak Web3 dünyasında saldırganların şifrenize ihtiyacı yoktur. Onların tek hedefi, cüzdanınızdan (Metamask, Phantom vb.) kötü niyetli bir işlemi imzalamanızı sağlamaktır. Bu işlem, genellikle varlık transferi yetkisi veren bir onaydır. Web3 phishing, kullanıcının kendi rızasıyla, ancak kandırılarak varlıklarının kontrolünü saldırgana devretmesi üzerine kuruludur. Bu süreçte Özel Anahtar (Private Key) çalınmaz, bunun yerine cüzdanın kapısı içeriden açtırılır.
Saldırı Anatomisi: Cüzdanınızı Nasıl Boşaltıyorlar?
Bir phishing saldırısı genellikle şu adımları izler:
1. Tuzak: Kullanıcı, yüksek getiri vaadi, acil bir güvenlik uyarısı veya ücretsiz token (airdrop) yemiyle sahte bir siteye çekilir.
2. Bağlantı: Kullanıcı cüzdanını siteye bağlar. Bu aşama genellikle zararsızdır.
3. İmza (Zehirli Kadeh): Site, kullanıcıdan bir işlem imzalamasını ister. Bu işlem, görünürde “Giriş Yap” veya “Ödülü Talep Et” gibi dursa da, arka planda cüzdanınızdaki tüm USDT veya NFT’leri saldırganın adresine transfer etme yetkisi (Approval) veren bir koddur.
4. Boşaltma: İmza atıldığı an, saldırganın botları devreye girer ve saniyeler içinde cüzdandaki varlıkları çeker.
Bu mekanizma, özellikle Sınırsız Onay (Unlimited Approval) riskinin en yıkıcı örneğidir. Kullanıcı, sadece bir işlem yaptığını sanırken, aslında cüzdanının tüm kontrolünü devretmektedir.
Yaygın Tuzaklar: Google Ads, Discord ve Sahte Airdroplar
Saldırganlar kurbanlarını bulmak için en popüler platformları kullanır. 2026’da en sık karşılaşılan tuzaklar şunlardır:
- Google Reklamları (Adwords): “Metamask”, “Ledger” veya “Aave” gibi popüler kelimeleri arattığınızda, en üstte çıkan reklamlar genellikle sahte sitelere aittir. Orijinal site zannederek tıkladığınız bu linkler, birebir kopya arayüzlerle sizi karşılar.
- Discord ve Telegram DM’leri: Proje yöneticisi veya destek ekibi gibi davranan botlar, “Cüzdanınızı doğrulamanız gerekiyor” veya “Özel bir çekiliş kazandınız” diyerek size sahte linkler gönderir.
- Sahte Airdroplar: Cüzdanınıza aniden beliren ve değeri yüksek görünen bilinmeyen tokenlar, sizi bu tokenları satmak için sahte bir DEX’e yönlendirir. Bu siteye bağlandığınızda cüzdanınız boşaltılır. Bu taktik, Honeypot Tuzağı ile benzerlik gösterir ancak amaç likidite değil, cüzdan erişimidir.
Teknik Tespit Yöntemleri: Domain ve SSL Analizi
Sahte bir siteyi tespit etmenin en kesin yolu, alan adını (Domain) karakter karakter incelemektir. Ancak modern saldırganlar, “Homograf Saldırıları” (benzer karakter kullanımı) ve “Punycode” teknikleriyle bu incelemeyi zorlaştırır. Örneğin, “bitay.com” yerine “bítay.com” (i harfi üzerinde aksan) kullanabilirler. Tarayıcınızda bu farkı görmek zor olabilir.
Ayrıca, SSL sertifikasının (adres çubuğundaki kilit simgesi) varlığı, sitenin güvenli olduğu anlamına gelmez. Saldırganlar da ücretsiz SSL sertifikaları alabilir. Asıl bakılması gereken, sertifikanın ne zaman alındığı ve kim tarafından verildiğidir. Bir gün önce alınmış bir sertifika, büyük bir kırmızı bayraktır. Bu tür teknik analizleri yapamayan kullanıcılar için DeFi Güvenlik Araçları kullanmak hayat kurtarıcı olabilir.
İmza Türlerini Tanımak: Permit ve SetApprovalForAll
Cüzdanınızda karşınıza çıkan imza pencerelerini okumayı öğrenmek, phishing’e karşı en güçlü savunmanızdır. Saldırganlar genellikle şu iki fonksiyonu kullanır:
| Fonksiyon | Ne Yapar? | Risk Seviyesi |
|---|---|---|
| SetApprovalForAll | Tüm NFT koleksiyonunuzu transfer etme yetkisi verir. Genellikle OpenSea gibi pazar yerleri taklidi yapan sitelerde kullanılır. | Kritik |
| IncreaseAllowance | Belirli bir token (örn. USDC) için harcama limitini artırır. Genellikle sınırsız yetki istenir. | Yüksek |
| Permit (EIP-2612) | Gas ücreti ödemeden, sadece imza ile token harcama yetkisi verir. “Gasless” olduğu için çok tehlikelidir ve genellikle “Login” işlemi gibi maskelenir. | Çok Yüksek |
| Seaport Signature | Karmaşık bir takas emridir. Saldırganlar, değerli NFT’nizi 0 ETH karşılığında takas etmenizi sağlayan bir emir imzalatabilir. | Kritik |
Bu imzaların ne anlama geldiğini anlamadan asla “Onayla” butonuna basmamalısınız. Özellikle Akıllı Sözleşme Denetimi süreçlerinden geçmemiş protokollerde bu tür istekler şüphelidir.
Homograf Saldırıları: Göz Yanılması ile Hırsızlık
İnsan beyni, kelimeleri bütün olarak algılama eğilimindedir. Saldırganlar bu psikolojik açığı kullanarak, Latin alfabesindeki harflere çok benzeyen Kiril veya Yunan alfabesi karakterlerini domainlerde kullanır (IDN Homograph Attack). Örneğin, “a” harfi yerine Kiril alfabesindeki “а” harfini kullanmak, gözle ayırt edilemez bir fark yaratır ancak tarayıcı bunu tamamen farklı bir site olarak algılar.
Bu saldırıdan korunmanın en iyi yolu, kripto sitelerine asla linklere tıklayarak veya arama motorundan gitmemektir. Güvendiğiniz siteleri tarayıcınızın “Yer İmleri” (Bookmark) çubuğuna eklemeli ve her zaman oradan erişmelisiniz. Bu basit alışkanlık, karmaşık saldırıların %99’unu engeller. Bu prensip, DeFi Güvenlik Rehberi içindeki 10 altın kuraldan biridir.
Korunma Stratejileri: Bookmark ve Güvenlik Eklentileri
Manuel kontroller her zaman yeterli olmayabilir. 2026 teknolojisi, kullanıcı hatalarını önlemek için yapay zeka destekli tarayıcı eklentileri sunmaktadır. Wallet Guard, Pocket Universe veya Scam Sniffer gibi araçlar, siz bir işlem imzalamadan önce işlemi simüle eder ve “Bu işlem cüzdanınızdaki tüm ETH’yi X adresine gönderecek” şeklinde net bir uyarı verir. Ayrıca bilinen phishing sitelerini otomatik olarak engellerler.
Ayrıca, varlıklarınızı tek bir cüzdanda tutmak yerine bölmek ve ana varlıkları Soğuk Cüzdan içinde izole etmek, bir phishing saldırısına uğrasanız bile kaybınızı sınırlar. Donanım cüzdanlarını “Kör İmza” (Blind Signing) modunda kullanmamak ve ekran üzerindeki verileri dikkatlice okumak da kritik bir önlemdir.
Acil Durum: Phishing Sitesine Bağlandım, Ne Yapmalıyım?
Eğer bir anlık dalgınlıkla sahte bir siteye bağlanıp işlem imzaladığınızı fark ederseniz, panik yapmadan ancak ışık hızında hareket etmelisiniz:
- Bağlantıyı Kesin: Cüzdanınızdaki “Connected Sites” bölümünden sitenin bağlantısını kesin (Bu tek başına yetersizdir ama ilk adımdır).
- Revoke İşlemi: Hemen güvenilir bir cihazdan Revoke.cash veya Etherscan’e giderek verdiğiniz izni iptal edin. Bu işlemin detaylarını Revoke İşlemi Nedir? rehberimizde bulabilirsiniz.
- Varlıkları Taşıyın: Eğer saldırgan henüz fonları çekmediyse, kalan varlıklarınızı derhal güvenli başka bir cüzdana transfer edin.
- Cüzdanı Terk Edin: Özel anahtarınızın veya imzaladığınız yetkinin tehlikeye girdiği bir cüzdanı bir daha asla kullanmayın.
Bu tür durumlarda ne yapacağınızı önceden bilmek için Kripto Cüzdanım Hacklendi mi? acil durum protokolünü ezberlemeniz önerilir.
Sıkça Sorulan Sorular (SSS)
Sadece siteye bağlanmak cüzdanımı boşaltır mı?
Genellikle hayır. Sadece “Connect Wallet” (Cüzdan Bağla) işlemi, sitenin halka açık adresinizi görmesini sağlar ancak varlıklarınıza erişim vermez. Tehlike, cüzdanı bağladıktan sonra karşınıza çıkan “Approve”, “Sign” veya “Permit” pencerelerini onayladığınızda başlar.
Mobilde phishing saldırılarından nasıl korunurum?
Mobil cüzdanların tarayıcıları (dApp Browser) genellikle masaüstü kadar güvenli değildir. Mobilde işlem yaparken mutlaka sitenin URL’sini dikkatlice kontrol edin ve mümkünse işlemleri masaüstü bilgisayarda, güvenlik eklentileri (Wallet Guard vb.) aktifken yapın.
Google reklamları neden dolandırıcı siteleri engellemiyor?
Saldırganlar, “Cloaking” (Gizleme) teknikleri kullanarak Google’ın denetim botlarına normal bir site gösterirken, gerçek kullanıcılara sahte siteyi gösterirler. Bu kedi-fare oyunu nedeniyle Google reklamlarına %100 güvenmemeli, her zaman organik sonuçları veya yer imlerini kullanmalısınız.
Donanım cüzdanı (Ledger/Trezor) phishing’den korur mu?
Hayır, korumaz. Donanım cüzdanı özel anahtarınızı internetten korur, ancak siz kendi ellerinizle hatalı bir işlemi cihaz üzerinde onaylarsanız (imzalarsanız), donanım cüzdanı bu emri uygular ve varlıklarınız çalınır. Güvenlik, cihazda değil kullanıcının kararındadır.
Yasal Uyarı: Bu makale finansal okuryazarlık amacıyla hazırlanmıştır ve yatırım tavsiyesi değildir. Kripto varlık piyasaları yüksek siber güvenlik riskleri ve volatilite barındırır. İşlem yapmadan önce mutlaka kendi araştırmanızı (DYOR) yapınız.