Kripto para dünyası, yaklaşımınıza bağlı olarak basit veya karmaşık olabilir. Ancak, günümüz teknoloji endüstrisindeki diğer nişler gibi, veri, kimlik bilgileri ve paralarınızı çalmaya hevesli saldırganlar da bulunmaktadır. Android cihazlar için Play Store’da birçok kripto para uygulaması mevcut; fakat bunların birçoğu gizliliğinizi riske atabilir.
Popüler kripto para uygulamaları gizliliğinizi riske atabilir
Kripto para işlemleri yaparken güvenliğinizi sağlamak son derece önemlidir. Kötü niyetli kişiler hesaplarınıza sızabilirse, ciddi maddi zararlar görebilirsiniz. Bu bağlamda, LEAKD tarafından gerçekleştirilen bir araştırma, Google’da en çok indirilen 51 kripto para uygulamasında birkaç endişe verici bulgu ortaya çıkardı. Araştırmada, bu uygulamaların birçoklarının gizlilik ve güvenliğinizi tehlikeye atabilecek uygulamalar kullandığı belirlenmiştir.
Takipçiler, hardcoded (kodu içinde saklanan) veriler ve gereksiz izin talepleri
Öncelikle, uygulamalarda “aktivite takibi” için kullanılan takipçiler bulunmaktadır. Bu, kullanıcıların uygulama içindeki veya dışındaki aktivitelerini “kaydetmek” için tasarlanmış kod modülleridir. Modern izin yönetim sistemleri, takipçilerin erişebileceği veri miktarını sınırlamayı mümkün kılmaktadır. Ancak, bazı kripto para uygulamaları, alışkanlıklarınızı belirlemek amacıyla yeterli bilgiyi toplamak için belirli izinler talep etmektedir. Bu veriler çoğunlukla hedefli reklamlar için kullanılmakta ve bazıları üçüncü taraflara satılmaktadır.
Rapor, Crypto.com ve DANA uygulamalarının kripto dünyasında en fazla takipçi uygulayanlar olduğunu belirtmektedir. Bu uygulamalar, sırasıyla 10’dan fazla takipçi barındırırken, 51 uygulama arasında ortalama 4.6 takipçi bulunmaktadır. Toplanan veriler arasında gezinme alışkanlıkları, cihaz kimlik bilgileri ve konum verileri bile yer alabilir. Bazı takipçilerin uygulamanın kilit özelliklerinin çalışması için gerekli olduğu da belirtilmelidir. Ancak, uygulama geliştiricilerinin bu konuda şeffaf olmaması, güveninizi sarsabilir.
Öte yandan, takipçileri minimumda tutan bazı uygulamalar da mevcut. Bitcoin Wallet, TokenPocket ve BitMart gibi uygulamalar, gizliliğinize daha fazla saygı göstererek takipçi barındırmamaktadır.
Listede yer alan bazı uygulamalarda ise endişe verici sayıda hardcoded veriler bulunmaktaydı. Bu, kodun içine doğrudan yerleştirilmiş hassas veriler anlamına gelmektedir. Bu veriler mutlaka sizinle ilgili olmayabilir, ancak kripto platformuna aittir. Yani, bir saldırgan, basit bir APK dekompiling ile bu verileri bulabilir ve platforma zarar vermek için kullanabilir. Bu durum, yalnızca sizin değil, potansiyel olarak binlerce veya milyonlarca kullanıcının güvenliği ve gizliliği için bir tehdit oluşturmaktadır.
Takipçilerde olduğu gibi, bu tür verilerin uygulama kodlarında bulunması bazen kaçınılmazdır. Ancak, bu durumlar güvenlik risklerini artırmaktadır. Rapor, Kraken Wallet ve MetaMask uygulamalarının hardcoded veri açısından en az sorunlu olduğunu, her birinin 15’ten az hardcoded veri barındırdığını belirtirken, en endişe verici olanlarının OKX, Binance ve MEXC olduğunu vurgulamaktadır; bu uygulamalar sırasıyla 5,329, 1,937 ve 1,340 hardcoded veri içermektedir. Hardcoded veri sayısı ne kadar fazla olursa, siber saldırı riski de o kadar artmaktadır.
Gereksiz izin talepleri gizliliğinizi tehdit ediyor
Mobil cihazlarda aşırı izin talepleri yaygın bir sorun olup, kripto para uygulamaları da bu durumdan muaf değildir. Rapor, bazı uygulamaların 45 izne kadar talepte bulunduğunu ve ortalamanın 22.9 olduğunu ortaya koymuştur. Hassas izinlerin verilmesi, mobil cihazlarda güvenlik açıklarını artırmak için başlıca sebeplerden biridir. Bu durum, kimlik bilgisi hırsızlığı ve birçok yolla gizlilik ihlallerine yol açabilir.
Rapor, özellikle kamera erişimi ve depolama okuma/yazma izinlerinin hassas doğası nedeniyle sorunlu olduğunu vurgulamaktadır. Bu izinler genellikle uygulamaların, örneğin belgeleri indirmek veya kimlik doğrulama sistemleri için dosya yüklemek gibi işlevler için ihtiyaç duyduğu izinlerdir. Ancak, kötü yönetim gizliliğinizi tehlikeye atabilir ve sizi platforma karşı saldırılara maruz bırakabilir.
Diğer potansiyel gizlilik tehditleri
Araştırmacılar, analiz edilen uygulamalarda bulunmayan ancak yine de dikkat etmeniz gereken diğer izinlerin varlığını belirtmiştir. Mikrofon erişimi, kesin konum, yaklaşık konum, ekran örtüsü ve cihaz kimlik bilgileri gibi izinler özellikle hassastır. Bu izinler, uygulamaların günlük aktivitelerinizi takip etmesine ve sizinle ilgili kritik bilgilere ulaşmasına olanak tanıyabilir.
Rapor, incelenen 51 kripto para uygulamasında sayısız gereksiz veya alakasız izin talebi olduğunu göstermektedir. Bu izin talepleri arasında takvime yazma, Bluetooth bağlantılarını yönetme ve etkinlik tanıma gibi izinler yer alıyor. Geliştiricilerin uygulamalarının yalnızca gerekli izinleri talep etmek yerine mümkün olduğunca fazla izin isteği izlenimi yaratıyor.
Kripto para patlaması ve buna bağlı gizlilik/güvenlik tehlikeleri
Son yıllarda, kripto paralar büyük bir patlama yaşadı. Özellikle Bitcoin’in yüksek değer kazanması ve zamanla değerinin daha da artması birçok insanın dikkatini çekti. Ancak bu varlıklar, çeşitli nedenlerden dolayı dalgalanmalar göstermeye devam etmektedir.
Mevcut durumda kripto para kullanmanın iki ana yolu bulunmaktadır. Merkezi bir borsa üzerinden işlem yapabilir ya da kendi cebinizde saklayabilirsiniz. Merkezi bir borsa kullanmak, kripto paralarla etkileşimi daha basit ve kullanıcı dostu hale getirmektedir. Ancak, bu durumda kripto varlıklarınız, daha önce yaşanan birçok saldırıda olduğu gibi, kötü niyetli saldırılara maruz kalma riski taşır.
Öte yandan, kendi cüzdanınızı kullanmak, kripto paralarınız üzerinde tam kontrol sağlar. Ancak bu, seed anahtarlarınızı güvenli bir şekilde saklama sorumluluğunu da beraberinde getirir. Eğer bunları kaybederseniz tüm kripto varlıklarınızı da kaybetmiş olursunuz. Ayrıca, kendine ait cüzdanlar, hesap oluştururken e-posta veya telefon numarası gibi kişisel bilgiler talep etmez. Ancak, bu durum, anahtarları kaybettiğinizde geri alım seçeneklerinizin kalmaması anlamına gelir.
Kripto para dünyasında karşı karşıya kalınacak riskler
Kripto para kullanımı yüksek volatilite, yani değer dalgalanmaları ile doludur. Varlığın değeri aniden yükselebilir veya düşebilir. Bu durum, sadece piyasa koşullarından değil, aynı zamanda “balina” olarak adlandırılan büyük miktarlarda kripto para sahibi kullanıcıların hareketlerinden de etkilenir. Hükümetlerin düzenleyici açıklamaları, bu varlıkların değerini de aniden düşürebilmektedir.
Merkezi borsa kullananların yaşadığı diğer bir tehlike, potansiyel saldırılar nedeniyle sermaye kaybı riskidir. Birçok borsa bu durumlarda kullanıcılarına herhangi bir garanti sunmamaktadır. Eğer şanssızsanız, sizin hiçbir şey yapmanıza fırsat vermeden, varlıklarınızı kaybedebilirsiniz.
Değişimlerin hacklenmesi, kullanıcıların kişisel verilerini de tehlikeye atabilir. Regülasyonların etkisi altında birçok platform, hesapları doğrulamak için KYC (Müşteriyi Tanı) politikaları uygulamak zorunda kalmaktadır. Bu, fiziksel kimlik, pasaport ve telefon numarası gibi hassas bilgilerle doğrulama süreçlerini içermektedir.
Kripto varlıklar dijital yapıda olduğundan, siber suçluların sayısı oldukça fazladır ve birçok sosyal mühendislik tekniği ile potansiyel kurbanlarını hedef alırlar. Pazarlama amacıyla kötü niyetli linkler, sahte kripto para uygulamaları ve değersiz kripto paraların yaratılması gibi yöntemleri sıkça kullanırlar. Kullanıcılara büyük kazanç vaat ederek satın almalarını sağlarlar ve ardından ortadan kaybolurlar.
Büyük kripto borsa hacklerinin küresel etkisi
Son yıllarda, bazı büyük kripto borsaları büyük kayıplar yaşamıştır. Son dönemlerin en büyük hack olayları arasında Mart 2022’de Ronin Network’ten çalınan 615 milyon dolarlık Ethereum ve USDC bulunmaktadır. Diğer önemli bir olay ise Ağustos 2021’de Poly Network’ten çalınan 611 milyon dolarlık kripto paradır. Bu olayda, hacker sadece platformu kırabileceğini göstermek istemiş ve sonrasında varlıkları geri döndürmüştür.
FTX borsasının iflası ise son yılların en tartışmalı olaylarından biridir. FTX, kripto ekosisteminde en önde gelen borsa olmayı hedefliyordu; ancak 2022’de yaşanan 600 milyon dolarlık bir hackin ardından iflas etti. 2023’te ise başka bir hack girişimi sonucunda 15 milyon dolar kaybetti.
Binance, en popüler ve güvenilir borsalar arasında yer alsa da, hack ve varlık hırsızlığı olaylarından muaf değildir. Ekim 2022’de gerçekleşen bir saldırıda, saldırganlar 570 milyon dolara eşdeğer bir miktar çaldı. Sektördeki diğer dikkate değer hack olayları arasında Coincheck (2018’de 534 milyon dolar), Mt. Gox (2011’de 400,000 dolar, 2014’te 437 milyon dolar), Bitmart (Aralık 2021’de 196 milyon dolardan fazla) ve Nomad Bridge (190 milyon dolar) bulunmaktadır.
Kuzey Kore’nin kripto borsa hackleri: Büyüyen bir tehdit
Kuzey Kore, kripto para hackleri konusunda önemli bir rol oynamaktadır. Pyongyang ile bağlantılı ekipler, uluslararası yaptırımları aşmak için sıkça bu yönteme başvurmaktadır. Birçok ülkenin yetkililerine göre, çalınan paralar kitle imha silahları ve balistik füze programları için kullanılmaktadır.
2024, Kuzey Koreli hackerlar için özellikle aktif bir yıl olmuş ve 47 saldırıda yaklaşık 1.34 milyar dolar çalmışlardır. Bu, 2023’te çalınan 660.5 milyon dolara göre büyük bir artıştır. Kuzey Kore ile bağlantılı kripto saldırıları, geçen yıl toplam çalınan kripto varlıkların %61’ini oluşturmuştur.
Son raporlar, Kuzey Koreli saldırıların sıklaştığını göstermektedir. Başarılı saldırılar arasındaki zaman aralığının, bir önceki yıla göre azaldığı belirtilmiştir. Rapor, 50 milyon ile 100 milyon dolar arasında ve 100 milyon dolardan daha fazla hırsızlık yapan saldırıları içermektedir. Bu, Kuzey Kore’nin siber yeteneklerinin giderek arttığını göstermektedir.
Raporda, Kuzey Koreli hackerların uluslararası kripto ve Web3 şirketlerinin güvenlik sistemlerini içten ihlal etmek için sahte kimlik ve aracılar kullanarak sızdıkları bildirilmektedir. ABD Adalet Bakanlığı (DOJ), Kuzey Kore’den 14 kişinin Kuzey Amerika şirketlerinde uzaktan çalışırken gizli bilgilere ulaşım sağladığını ve işverenlerinden 88 milyon dolardan fazla zorla para aldıklarını bildirmiştir.
2024 yılında, Japonya’daki DMM Bitcoin, Kuzey Kore ile ilişkilendirilen gruplar tarafından saldırıya uğramış ve yaklaşık 4,502.9 Bitcoin (o dönemde 305 milyon dolara denk) kaybetmiştir. Neyse ki, DMM kullanıcılarının kayıplarını karşılama sorumluluğunu üstlenmiştir.
Kuzey Koreli hackerlar genellikle aynı taktikleri izlemektedir. Kripto platformlarına başarılı bir şekilde saldırdıktan sonra, fonları ara cüzdanlara transfer etmekte ve ardından bir Bitcoin karıştırıcıya yönlendirmektedir. Bu karıştırıcılar, kripto paraların kaynağını veya hedefini gizlemek amacıyla anonim kullanıcılar arasında takas yaparak çalışan platformlardır. Bitcoin karıştırıcıları, bir tür “kara para aklama” sistemi olarak işlev görmektedir.
Kripto para kullanırken güvenliğinizi nasıl ihlal edebilirler?
Saldırganların, değişim platformlarında hesabınıza nasıl sızabileceğine dair birçok yöntemi bulunmaktadır. Her zaman tüm platformu hedef almaya çalışmazlar; daha çok bireysel kullanıcıları hedef alırlar. Bunun için, kötü niyetli bağlantılara sahip phishing e-postaları veya SMS mesajları kullanmaktadırlar. Bu bağlantılar genellikle kullanıcı adınızı ve şifrenizi isteyen formlara ya da klonlanmış web sitelerine yönlendirmektedir.
Kötü niyetli kişiler, sıklıkla popüler yazılımlara kötü amaçla yazılımlar ekleyerek kullanıcıları hedef alırlar. Mobil cihazlarda, sıklıkla yaygın uygulamalara malware bulaştırmakta ve bunları internet üzerinden dağıtmaktadırlar. Günümüzde uygulama mağazalarının (örneğin Play Store) güvenlik sistemleri, malware içeren yüklemeleri otomatik olarak tespit etmede giderek daha başarılı olsa da, bazı nadir durumlarda kötü niyetli uygulamalar yine de mağazalarda yer bulabilmektedir.
Üçüncü şahıslar, zayıf koddan yararlanarak veya tersine mühendislik yaparak bireysel kullanıcıları hedef alabilir. Bu, en büyük kripto hacklerinde sıkça görülmektedir.
Kendi kripto varlıklarını kendi cüzdanlarında saklayan kişilerin, özel anahtarları ele geçirildiğinde varlıklarına ulaşma riski bulunmaktadır. Merkezi borsalar, kullanıcılarına genellikle cüzdanlarının özel anahtarlarına erişim vermemektedir. Ancak, ironik bir şekilde, merkezi borsalar diğer faktörlerden dolayı daha fazla saldırıya maruz kalmaktadır.
Olası hackleri önlemek için ipuçları
Kripto para dünyasına adım atmayı düşünüyorsanız, güvenliğiniz ve gizliliğiniz için bazı önlemler almanız gerekmektedir. En önemlisi, varlıklarınızı potansiyel saldırılardan korumaktır. Kullanabileceğiniz bazı ipuçları şunlardır:
Öncelikle, varlıkların kendi cüzdanlarında saklanması önerilmektedir. Bunun için, merkezi borsalarla bağlantısı olmayan ve kripto ağı ile doğrudan etkileşimde bulunan “soğuk cüzdanlar” kullanabilirsiniz. Ancak unutmayın ki, seed anahtarlarınızı güvende tutmak esastır; çünkü bunları kaybederseniz, varlıklarınıza asla erişemezsiniz.
Soğuk cüzdanlar, yeni başlayanlar için karmaşık görünebilir. Bu durumda, güvenilir bir kripto borsasına başvurabilirsiniz, ancak borsanın hack geçmişini kontrol etmeyi unutmayın. Bu senaryoda, yıllardır benzeri bir vaka yaşamayan popüler borsaları tercih etmek ve mümkünse birden fazla kimlik doğrulama yöntemi sunmalarını sağlamak en iyisidir.
Kullandığınız platformda zararlı yazılım barındıran şüpheli kaynaklardan yazılımları indirip kurmaktan kaçının. Bu tür yazılımlar, potansiyel kripto platformlarınıza erişmeye çalışarak trojanize edilir.
Borsada işlem yapıyorsanız, mümkün olan en karmaşık şifreleri kullanmanız önemlidir. Şifrelerinizi güvenli bir yerde saklamayı ve zaman zaman güncellemeyi unutmayın. Bunun yanı sıra, şifrelerinizi tarayıcınızın yerel şifre yöneticisine kaydetmekten kaçının. Seed anahtarlarınızı bir dosyada saklamayı ve şifreli bir .ZIP/.RAR dosyası halinde koruma altına almayı düşünebilirsiniz. Anahtarlarınızı hatırlayamayacak kadar karmaşık hale getirdiyseniz, her seferinde dosyanızı açmanız gerekecektir; ancak bu, her şeyi kaybetmekten daha iyidir.
Ayrıca, mümkünse çok faktörlü kimlik doğrulama yöntemini etkinleştirin. Büyük borsalar genellikle bu ekstra güvenlik katmanını sunar, bu yüzden bunu uygulamayı unutmayın. Son olarak, kötü niyetli kripto bağlantılarına tıklamaktan kaçının; bu bağlantıları SMS veya e-posta yoluyla alabilirsiniz.
