Sosyal mühendislik saldırıları şifreleme varlık güvenliğini tehdit ediyor, Coinbase kullanıcıları ana kurbanlar oldu

Son yıllarda, sosyal mühendislik saldırıları şifreleme varlıkları alanındaki kullanıcıların fon güvenliği için büyük bir tehdit haline geldi. 2025'ten bu yana, belirli bir ticaret platformunun kullanıcılarına yönelik sosyal mühendislik dolandırıcılığı olayları sıkça yaşanmakta ve geniş bir ilgi uyandırmıştır. Topluluk tartışmalarından görüldüğü üzere, bu tür olaylar yalnızca birer örnek değil, sürekli ve organize özelliklere sahip bir dolandırıcılık türüdür.

15 Mayıs'ta, bir ticaret platformu, platformun içinde "içeriden biri" bulunduğu yönündeki önceki spekülasyonları doğrulayan bir açıklama yaptı. Edinilen bilgilere göre, ABD Adalet Bakanlığı bu veri sızıntısı olayıyla ilgili bir soruşturma başlattı.

Bu makale, birden fazla güvenlik araştırmacısı ve mağdurlar tarafından sağlanan bilgileri derleyerek dolandırıcıların ana yöntemlerini ifşa edecek ve hem platform hem de kullanıcı perspektifinden bu tür dolandırıcılıklara karşı nasıl etkili bir şekilde başa çıkılacağını inceleyecektir.

Tarihsel Analiz

Zincir üzerindeki dedektif Zach, 7 Mayıs'taki iletişim güncellemesinde şunları söyledi: "Sadece geçen hafta, sosyal mühendislik dolandırıcılığı nedeniyle 4,500,000 dolardan fazla bir miktar bir ticaret platformu kullanıcısından çalındı."

Geçtiğimiz yıl boyunca, Zach bu platformun kullanıcılarının maruz kaldığı hırsızlık olaylarını defalarca açıkladı; bazı mağdurların kayıpları on milyonlarca dolara kadar ulaştı. 2025 Şubat ayında yaptığı detaylı bir araştırmada, sadece 2024 Aralık ile 2025 Ocak ayları arasında benzer dolandırıcılıklar nedeniyle çalınan toplam para miktarının 65 milyon doları aştığını belirtti ve bu platformun ciddi bir "sosyal mühendislik dolandırıcılığı" kriziyle karşı karşıya olduğunu ortaya koydu. Bu tür saldırılar, yıllık 300 milyon dolarlık bir ölçekle kullanıcıların varlık güvenliğini sürekli olarak tehdit etmektedir. Ayrıca şunları belirtti:

• Bu tür dolandırıcılıkları yönlendiren çeteler esasen iki gruba ayrılır: Bir grup, belirli bir çevreden gelen düşük seviyeli saldırganlardır, diğer grup ise Hindistan'da bulunan siber suç örgütleridir;
• Dolandırıcılık çetelerinin saldırı hedefleri ağırlıklı olarak Amerikan kullanıcılar olup, suç işleme yöntemleri standartlaşmış ve konuşma süreçleri olgunlaşmıştır;
• Gerçek kayıp miktarı, elde edilemeyen müşteri hizmetleri ticketleri ve polis raporları gibi kamuya açık olmayan bilgileri içermediğinden, zincirde görünür istatistiklerden çok daha yüksek olabilir.

Dolandırıcılık Yöntemleri

Bu olayda, platformun teknik sistemi kırılmamış, dolandırıcılar iç çalışanların yetkilerini kullanarak bazı kullanıcıların hassas bilgilerine erişim sağlamıştır. Bu bilgiler arasında: isim, adres, iletişim bilgileri, hesap verileri, kimlik kartı fotoğrafları vb. Dolandırıcıların nihai amacı, sosyal mühendislik yöntemleri kullanarak kullanıcıları para transferine yönlendirmektir.

Bu tür bir saldırı yöntemi, geleneksel "ağ atma" phishing yöntemlerini değiştirmiştir ve "hassas saldırı" yönüne kaymıştır, adeta "kişiye özel" bir sosyal mühendislik dolandırıcılığıdır. Tipik suç işleme yolu aşağıdaki gibidir:

1. Kullanıcılarla "resmi müşteri hizmetleri" kimliğiyle iletişime geçin.

Dolandırıcılar, sahte telefon sistemleri kullanarak platformun müşteri hizmetleri gibi davranarak kullanıcılara "hesaplarının yasa dışı bir şekilde giriş yapıldığı" veya "para çekme anormallikleri tespit edildiği" şeklinde telefonlar açarak acil bir durum havası yaratmaktadırlar. Daha sonra, sahte iş emri numaraları veya "geri yükleme süreci" bağlantıları içeren sahte phishing e-postaları veya SMS'leri gönderirler ve kullanıcıları işlem yapmaya yönlendirirler. Bu bağlantılar, klonlanmış platform arayüzlerine yönlendirebilir ve hatta resmi alan adından geliyormuş gibi görünen e-postalar gönderebilirler. Bazı e-postalar, güvenlik korumalarını aşmak için yönlendirme tekniklerini kullanmaktadır.

2. Kullanıcıları belirli bir cüzdan indirmeye yönlendirin

Dolandırıcılar, "varlık güvenliği" bahanesiyle kullanıcıları "güvenli cüzdan"a fon transfer etmeye yönlendirir, ayrıca kullanıcılara belirli cüzdanları kurmalarında yardımcı olur ve platformda tutulan varlıklarını yeni oluşturulan bir cüzdana aktarmaları için yol gösterir.

3. Kullanıcıları dolandırıcılar tarafından sağlanan hatırlatma kelimelerini kullanmaya teşvik etme

Geleneksel "şifre kelimelerini kandırma" yöntemlerinden farklı olarak, dolandırıcılar doğrudan kendilerinin oluşturduğu bir dizi şifre kelimesi sunarak kullanıcıları bunları "resmi yeni cüzdan" olarak kullanmaya ikna ediyor.

4. Dolandırıcılar fon hırsızlığı yapıyor

Mağdurlar, gergin, kaygılı ve "müşteri hizmetleri"ne güven duydukları bir durumda, tuzağa düşmeleri oldukça kolaydır. Onlar için, "resmi olarak sağlanan" yeni cüzdan, "şüpheli bir şekilde saldırıya uğramış" eski cüzdandan daha güvenli görünmektedir. Sonuç olarak, bir kez bu yeni cüzdana para aktarılınca, dolandırıcılar hemen bunu alabilirler. "Senin kontrolünde olmayan, senin malın değildir" ilkesi bir kez daha kanlı bir şekilde doğrulanmıştır.

Ayrıca, bazı oltalama e-postaları "toplu dava kararları nedeniyle platformun tamamen kendi cüzdanına geçeceğini" iddia ediyor ve kullanıcıların 1 Nisan'a kadar varlıklarını taşımalarını talep ediyor. Kullanıcılar, acil zaman baskısı ve "resmi talimat" psikolojik etkisi altında daha kolay bir şekilde bu işlemi gerçekleştirmeye ikna oluyor.

Güvenlik araştırmacılarına göre, bu saldırılar genellikle organize bir şekilde planlanır ve uygulanır:

• Dolandırıcılık araç zinciri tamamlandı: Dolandırıcılar, belirli bir sistemi kullanarak arayan numarayı taklit eder ve resmi müşteri hizmetlerinin aramasını simüle eder. Phishing e-postaları gönderirken, sosyal medya platformlarındaki botları resmi e-posta adresini taklit etmek için kullanır ve "hesap kurtarma kılavuzu" ekleyerek para transferine yönlendirir.
• Hedef Doğruluğu: Dolandırıcılar, iletişim kanallarından ve karanlık ağdan satın aldıkları çalıntı kullanıcı verilerine dayanarak, ABD bölgesindeki kullanıcıları ana hedef olarak belirliyor, hatta çalıntı verileri işlemek için AI kullanarak telefon numaralarını bölüp yeniden birleştiriyor, toplu metin dosyaları oluşturuyor ve ardından patlama yazılımları aracılığıyla SMS dolandırıcılığı yapıyor.
• Tuzak süreci tutarlı: Telefon, mesaj ve e-posta ile dolandırıcılık yolu genellikle kesintisizdir. Yaygın oltalama ifadeleri arasında "Hesabınıza para çekme talebi alındı", "Şifreniz sıfırlandı", "Hesabınızda anormal giriş var" gibi ifadeler bulunur ve mağdurları "güvenlik doğrulaması" yapmaya devam ettirir, ta ki cüzdan transferi tamamlanana kadar.

Zincir Üstü Analiz

Bazı dolandırıcı adreslerini analiz ettik ve bu dolandırıcıların güçlü bir zincir üzerindeki işlem yeteneğine sahip olduğunu keşfettik. Aşağıda bazı anahtar bilgiler bulunmaktadır:

Dolandırıcıların saldırı hedefleri, kullanıcıların sahip olduğu çeşitli varlıkları kapsamaktadır. Bu adreslerin aktiflik süreleri 2024 Aralık ile 2025 Mayıs arasında yoğunlaşmaktadır. Hedef varlıklar esas olarak BTC ve ETH'dir. BTC, şu anda en önemli dolandırıcılık hedefidir; birden fazla adres, tek seferde yüzlerce BTC kazanç elde etmekte, bu kazançların her biri milyonlarca dolar değerindedir.

Fonlar alındıktan sonra, dolandırıcılar hızlı bir şekilde bir temizleme süreci kullanarak varlıkları değiştirip transfer ederler, ana model aşağıdaki gibidir:

• ETH türü varlıklar genellikle bir DEX üzerinden hızlı bir şekilde DAI veya USDT'ye dönüştürülür, ardından dağıtılarak birçok yeni adrese transfer edilir, bazı varlıklar merkezi borsa platformlarına girer;

• BTC, esas olarak, Ethereum'a köprüler aracılığıyla geçiş yaparak, izleme riskinden kaçınmak için DAI veya USDT'ye dönüştürülür.

Birden fazla dolandırıcılık adresi DAI veya USDT aldıktan sonra hâlâ "beklemede" durumda, henüz dışarı aktarılmadı.

Kendi adresinizin şüpheli adreslerle etkileşime girmesini ve böylece varlıkların dondurulma riskiyle karşılaşmamak için, kullanıcıların işlem yapmadan önce hedef adresi risk taramasından geçirmeleri önerilir, böylece potansiyel tehditlerden etkili bir şekilde kaçınılabilir.

Önlemler

platformu

Mevcut ana akım güvenlik önlemleri daha çok "teknoloji katmanı" korumasına odaklanmaktadır, ancak sosyal mühendislik dolandırıcılıkları genellikle bu mekanizmaları aşarak kullanıcı psikolojisi ve davranış açıklarını doğrudan hedef alır. Bu nedenle, platformların kullanıcı eğitimi, güvenlik eğitimi ve kullanılabilirlik tasarımını birleştirmesi, "insana yönelik" bir güvenlik hattı oluşturması önerilmektedir.

• Düzenli olarak dolandırıcılıkla mücadele eğitimi içeriği gönderimi: Kullanıcıların oltalama karşısındaki yeteneklerini artırmak için uygulama pencereleri, işlem onay ekranları, e-posta gibi yollarla.
• Risk kontrol modelini optimize etme, "etkileşimli anormal davranış tanıma"yı dahil etme: Çoğu sosyal mühendislik dolandırıcılığı, kullanıcıları kısa bir süre içinde bir dizi işlem (örneğin, para transferi, beyaz liste değişikliği, cihaz bağlama vb.) gerçekleştirmeye teşvik eder. Platform, şüpheli etkileşim kombinasyonlarını (örneğin, "sık etkileşim + yeni adres + yüksek tutarlı para çekme") tanımak için davranış zinciri modeline dayanarak soğuma süresi veya manuel yeniden inceleme mekanizmasını tetiklemelidir.
• Müşteri hizmetleri kanallarını ve doğrulama mekanizmalarını standartlaştırın: Dolandırıcılar genellikle müşteri hizmetlerini taklit ederek kullanıcıları kandırır, platform telefon, SMS ve e-posta şablonlarını birleştirmeli ve "müşteri hizmetleri doğrulama girişi" sağlamalı, tek resmi iletişim kanalını netleştirmeli ve karışıklığı önlemelidir.

kullanıcı

• Kimlik izolasyon stratejileri uygulayın: Birden fazla platformun aynı e-posta ve telefon numarasını paylaşmaktan kaçınarak, bağlantılı riskleri azaltın. E-posta adresinizin sızdırılıp sızdırılmadığını düzenli olarak kontrol etmek için sızdırma sorgulama araçlarını kullanabilirsiniz.

• Transfer beyaz listesi ve para çekme soğutma mekanizmasını etkinleştirin: Acil durumlarda fon kaybı riskini azaltmak için güvenilir adresleri önceden ayarlayın.

• Güvenlik bilgilerini sürekli takip edin: Güvenlik şirketleri, medya, ticaret platformları gibi kanallar aracılığıyla saldırı yöntemlerinin en son gelişmelerini öğrenin ve tetikte kalın. Şu anda, birçok güvenlik kuruluşunun geliştirdiği Web3 phishing tatbikat platformu yakında faaliyete geçecek. Bu platform, sosyal mühendislik, imza phishing, kötü niyetli sözleşme etkileşimi gibi çeşitli tipik phishing yöntemlerini simüle edecek ve tarihsel örneklerle bir araya getirerek senaryo içeriğini sürekli güncelleyecek. Kullanıcıların risksiz bir ortamda tanıma ve yanıt verme yeteneklerini geliştirmelerine yardımcı olacak.

• Çevrimdışı riskler ve gizlilik korumasına dikkat: Kişisel bilgilerin sızması, kişisel güvenlik sorunlarına yol açabilir.

Bu, boş yere endişelenmek değil; bu yıl itibarıyla, şifreleme sektöründeki profesyonellerin/kullanıcıların birçok kez kişisel güvenlik tehditleri ile karşılaştıkları bir durum. Bu sızıntıda yer alan verilerin isim, adres, iletişim bilgileri, hesap verileri, kimlik fotoğrafları gibi içerikler içerdiği göz önüne alındığında, ilgili kullanıcıların çevrimdışı da dikkatli olmaları ve güvenliklerini artırmaları gerekmektedir.

Sonuç olarak, şüpheci kalın ve sürekli doğrulayın. Acil işlemlerle ilgili olarak, karşı taraftan kimliğini doğrulamasını isteyin ve resmi kanallar aracılığıyla bağımsız olarak doğrulayın, baskı altında geri dönüşü olmayan kararlar almaktan kaçının.

Özet

Bu olay, giderek olgunlaşan sosyal mühendislik saldırı tekniklerine karşı sektörün müşteri verileri ve varlık güvenliği konusunda hala belirgin eksiklikler olduğunu bir kez daha gözler önüne serdi. Dikkat edilmesi gereken bir diğer husus ise, platformla ilgili pozisyonların fon yetkisine sahip olmasa bile, yeterli güvenlik bilinci ve yeteneğinden yoksun olmalarının, istemeden bilgi sızdırma veya ikna edilme yoluyla ciddi sonuçlara yol açabileceğidir. Platformun büyüklüğü arttıkça, personel güvenlik kontrolünün karmaşıklığı da artmakta ve bu, sektörün en zor aşılacak risklerinden biri haline gelmiştir. Bu nedenle, platformun zincir üzerindeki güvenlik mekanizmalarını güçlendirirken, iç personel ve dış kaynak hizmetlerini kapsayan "sosyal mühendislik savunma sistemi"ni sistematik bir şekilde inşa etmesi ve insan kaynaklı riskleri genel güvenlik stratejisine dahil etmesi gerekmektedir.

Ayrıca, bir saldırının yalnızca izole bir olay olmadığını, örgütlü ve ölçekli sürekli bir tehdit olduğunu keşfettiğinde, platform hemen yanıt vermeli, potansiyel açıkları proaktif olarak araştırmalı, kullanıcıları önlem alması için uyarmalı ve zararın kapsamını kontrol altına almalıdır. Ancak teknik ve organizasyonel düzeyde çift yönlü bir yanıt ile giderek karmaşıklaşan güvenlik ortamında gerçekten güveni ve sınırları koruyabiliriz.