Bitcoin Kaç TL? Güncel BTC Fiyatı, Grafik, Haber ve Rehber Bitcoin Kaç TL? Güncel BTC Fiyatı, Grafik, Haber ve Rehber

Terimler Sözlüğü & Rehber

Kriptoda Dolandırıcılık Yöntemleri: En Yaygın Scam’ler ve Korunma Rehberi

Yazar Yazar Admin
31-12-2025
0 Yorum
113 Görüntüleme
Kriptoda Dolandırıcılık Yöntemleri: En Yaygın Scam’ler ve Korunma Rehberi

Kriptoda dolandırıcılıklarda en sık kullanılan yöntemler ve korunma: phishing’ten wallet drainer’a tam savunma rehberi

Kripto ekosisteminde dolandırıcılık, tek bir “hile” ile değil; kullanıcı davranışı, cüzdan izinleri, sahte arayüzler, sosyal mühendislik ve hesap güvenliği gibi parçaların birleşimiyle çalışır. Bu rehber, kriptoda dolandırıcılık yöntemlerini tek tek saymakla kalmaz; her yöntemin hangi zayıflıktan beslendiğini, hangi noktada “geri dönüşü zor” hale geldiğini ve korunma için en yüksek etkili adımların hangileri olduğunu uygulamaya dönük biçimde anlatır. Amaç, “scam” kelimesini duyunca paniklemek değil; riskleri sınıflandırıp yönetilebilir hale getirmek.

Okuyunca şunlar netleşecek: kripto phishing nedir ve phishing linki nasıl anlaşılır; sahte borsa sitesi nasıl anlaşılır; sahte cüzdan uygulaması nasıl ayırt edilir; Telegram/Discord üzerinden sahte destek ekibi dolandırıcılığı hangi senaryolarla gelir; airdrop scam nasıl anlaşılır ve fake airdrop tuzakları nasıl kurulur; wallet drainer nedir; approve scam nedir, unlimited allowance nedir ve token izinleri nasıl iptal edilir (revoke); seed phrase dolandırıcılığı ve “private key paylaşılır mı?” sorusunun kesin yanıtı; rug pull, honeypot token ve pump dump gibi piyasa manipülasyonları; sim swap nedir kripto bağlamında ve SMS 2FA neden zayıf sayılır; “kripto dolandırıldım ne yapmalıyım?” sorusunda ilk 15 dakika, ilk 2 saat ve ilk 24 saat planı.

Hızlı Erişim

TL;DR (30 saniyede özet)

  • Kripto dolandırıcılığı çoğu zaman “tek hamle” değildir; phishing + sahte arayüz + izin (approve) + acele ettirme kombinasyonudur.
  • Link ve uygulama doğrulaması 60 saniyelik bir rutinle bile riski ciddi azaltır: alan adı, sertifika, resmi mağaza, imza/izin ekranı kontrolü.
  • Airdrop/claim işlemleri, wallet drainer ve approve scam’lerin ana sahnesidir; “unlimited allowance” iznini asla otomatik vermemek gerekir.
  • Seed phrase/private key hiçbir koşulda paylaşılmaz; destek ekibi gibi davranan hesaplar %99 sosyal mühendisliktir.
  • Hesap ele geçirme tarafında SMS 2FA kırılgan kalabilir; TOTP/passkey ve çekim beyaz liste + 24–48 saat bekleme gibi kısıtlar zaman kazandırır.
 

Kriptoda dolandırıcılık yöntemleri: saldırı yüzeyi haritası

Kriptoda dolandırıcılık yöntemleri, temelde üç hedefe oynar: (1) sizi yanlış bilgiyle yanlış adım attırmak, (2) cüzdanınıza veya hesabınıza erişim almak, (3) cüzdanınızdan “izin” üzerinden varlık çekmek. Yeni başlayanlar çoğu zaman sadece “şifrem çalındı” diye düşünür; oysa DeFi ve dApp’lerde asıl risk, şifre değil imzadır. Bir linke tıklayıp cüzdan bağladığınızda, “giriş” sanılan ekran aslında bir işlem onayı veya izin verme (approve) olabilir. Bu yüzden savunmanın ilk adımı, dolandırıcılık türlerini “platforma göre” sınıflandırmaktır: borsa tarafı (hesap ele geçirme, sahte destek, sahte borsa sitesi), cüzdan tarafı (seed phrase tuzakları, sahte uygulama, wallet drainer), piyasa tarafı (rug pull, honeypot, pump dump).

İkinci adım, saldırganın kullandığı psikolojiyi görmek: acele ettirme (“5 dakika içinde claim”), otorite (sahte destek), fırsat (garanti kazanç), kayıp korkusu (“hesabın kapanacak”), topluluk baskısı (“herkes aldı”). Bu unsurların birleştiği yerde “kripto scam yöntemleri” daha etkili olur. Pratik bir kontrol: Bir işlem için sizden 2 adım yerine 6 adım isteniyorsa (siteye gir, cüzdan bağla, imzala, onayla, gas seç, tekrar imzala) durup 30 saniye düşünmek çoğu tuzağı bozar. Ayrıca risk yüzeyini daraltmak için varlıkları tek yerde tutmamak, “işlem cüzdanı” ile “saklama cüzdanı”nı ayırmak ve rutinleri yazılı hale getirmek (5 maddelik kişisel protokol) güvenlikte beklenmedik fark yaratır.

 

Kripto phishing nedir? Phishing linki nasıl anlaşılır?

Kripto phishing nedir? En basit haliyle, gerçek bir platformun arayüzünü taklit eden sayfalarla sizi şifre, 2FA kodu, seed phrase veya cüzdan imzası vermeye ikna etme yöntemidir. Phishing linki nasıl anlaşılır sorusunda ilk katman alan adıdır: harf benzerlikleri (ör. “rn” ile “m”), fazladan tire, farklı uzantı, alt alan adı tuzakları (“support-xxx.example.com” gibi) sık kullanılır. İkinci katman, linkin size nereden geldiğidir: sponsorlu arama sonucu, DM, Telegram/Discord özel mesajı, sahte “airdrop” tweet’i gibi. Üçüncü katman, link tıklandığında sayfanın sizden ne istediğidir: “cüzdan bağla” demesi tek başına kötü değildir; ama bağladıktan sonra “imzala” diyorsa ve imza metni anlaşılmazsa risk artar. Birçok kullanıcı imzayı “giriş onayı” sanır; oysa imza bazen bir izin veya işlem olabilir.

Pratik bir 60 saniye kontrol rutini: (1) Alan adını harf harf kontrol et, (2) resmi kaynakla karşılaştır (platformun uygulama içi duyurusu veya daha önce kaydettiğin yer imi), (3) sayfa senaryosunu sorgula: “neden şimdi benden bunu istiyor?”, (4) cüzdan penceresinde görünen izin/işlem metnini oku; “setApprovalForAll”, “permit”, “approve” gibi ifadeler görürsen dur, (5) aynı işlemi farklı cihazda tekrar kontrol et (telefon yerine PC veya tam tersi). Bu 5 adım toplam 1–2 dakika sürer ama “tek tıkla kayıp” senaryosunu çoğu zaman engeller. Ayrıca tarayıcı tarafında parola yöneticisi kullanmak da işe yarar: gerçek sitede otomatik dolduran şifre, sahte sitede dolmaz; bu küçük sinyal, phishing’i yakalamada pratik bir alarmdır.

Mitos vs Gerçek

  • Mitos: “Sadece şifrem güçlü olsun yeter.”
    Gerçek: DeFi’de şifre yoktur; imza ve izin üzerinden varlık çekilebilir.
  • Mitos: “Mavi tikli hesap paylaştıysa link güvenlidir.”
    Gerçek: Hesaplar ele geçirilebilir; linki resmi kanaldan doğrulamak gerekir.
  • Mitos: “İmza atmak para göndermek demek değildir.”
    Gerçek: Bazı imzalar, cüzdan izinlerini genişletebilir ve sonradan çekime kapı açabilir.
  • Mitos: “Airdrop claim ücretsizdir, risk yoktur.”
    Gerçek: Claim sayfaları wallet drainer ve approve scam’lerin en sevdiği tuzaktır.
  • Mitos: “Dolandırıcılar sadece büyük hesapları hedefler.”
    Gerçek: Kolay hedef bulmak da stratejidir; yeni kullanıcılar daha sık hedef olur.
 

Sahte borsa sitesi ve sahte uygulamalar: en görünmez tuzaklar

Sahte borsa sitesi nasıl anlaşılır sorusu, özellikle arama motoru reklamlarında ve “uygulama indirme” akışlarında kritikleşir. Saldırganlar, gerçek borsanın adını taşıyan reklamlara bütçe ayırıp sizi birebir kopya bir giriş ekranına yönlendirebilir. Bu ekranda girilen e-posta/şifre anında saldırgana gider ve siz daha 10 saniye önce yazdığınız bilgileri kaybetmiş olursunuz. Güvenli yaklaşım: borsa linkini arama sonuçlarından değil, bizzat daha önce doğruladığınız yer iminden açmak. Eğer ilk kez kullanıyorsanız, platformun resmi sosyal kanallarından gelen “tek bir ana link”i doğrulayıp o linki kaydetmek ve sonraki girişleri sadece oradan yapmak, phishing ihtimalini ciddi düşürür.

Sahte cüzdan uygulaması ve sahte borsa uygulaması tarafında risk daha sinsi olabilir. Uygulama mağazasında benzer isimli uygulamalar, sahte incelemeler, benzer ikonlar görülebilir. Bazı sahte uygulamalar sizden seed phrase ister; bu, kırmızı alarmdır. Seed phrase isteyen uygulama, cüzdan değil “seed toplayıcı” olabilir. Uygulama güvenliği için 4 kontrol: (1) yayıncı adı ve geçmişi, (2) indirme sayısı ve yorumların tutarlılığı, (3) resmi sitedeki yönlendirme ile eşleşme, (4) uygulamanın ilk açılışta istediği izinler. İlk açılışta “seed phrase’i gir” diyorsa veya siz daha hiç cüzdan kurmadan “kurtarma kelimelerini doğrula” gibi aşırı hızlı bir akış sunuyorsa durmak gerekir. Ayrıca borsa tarafında “anti-phishing kodu” gibi e-posta doğrulama mekanizmaları varsa aktif etmek, sahte e-postaları ayırt etmede ciddi fark yaratır.

 

Telegram/Discord kripto dolandırıcılığı: sahte destek ekibi oyunları

Telegram kripto dolandırıcılığı ve Discord kripto dolandırıcılığı, “topluluk” hissini kullanır. Senaryo genelde benzer: bir grubun içine girersiniz, bir sorun yazarsınız (ör. çekim beklemede, cüzdan bağlanmıyor), birkaç dakika içinde “destek” olduğunu iddia eden bir hesap DM atar. Bu hesap, logo ve isimle gerçek destek gibi görünür; sizden “hızlı çözüm” için linke tıklamanızı, ekran görüntüsü atmanızı, hatta seed phrase girmenizi isteyebilir. Sahte destek ekibi dolandırıcılığı burada devreye girer: destek rolü, otorite sağlar; hız baskısı “düşünmeyi” azaltır. Gerçek destek ekipleri çoğu zaman sizden seed phrase istemez, sizden “uzak bağlantı” yazılımı yüklemenizi talep etmez ve işlemleri DM’den değil, resmi ticket sistemi üzerinden yürütür.

Korunma için pratik kurallar: (1) Destekle DM’den konuşma; resmi web panelinden ticket aç, (2) “yardım edeyim” diye yazan hesapların rol/etiket doğrulamasını kanıtla, (3) link tıklama yerine, senin açtığın resmi site üzerinden adım adım ilerle, (4) ekran görüntüsü paylaşırken e-posta, bakiye, QR kod, cihaz bilgisi gibi kritik verileri gizle, (5) “hemen çözülmezse para kaybedersin” baskısına karşı 2 dakika mola ver. Bu “2 dakika kuralı” gerçek hayatta çok işe yarar: dolandırıcı 2 dakika içinde tepki ister; beklediğinde planları bozulur. Ayrıca topluluk yöneticilerinin sabitlediği mesajlarda genelde “seed phrase istemeyiz” gibi uyarılar vardır; bunu okumadan soru sormak, sizi doğrudan hedef yapabilir.

3 Kullanıcı Senaryosu

1) Yeni Başlayan (topluluklara hızlı dalan)
Risk: DM’den gelen “destek” mesajını gerçek sanıp linke tıklamak veya seed phrase paylaşmak.
Model: DM’leri kapat, sadece resmi ticket/uygulama içi destek kullan, seed phrase’i asla yazma.
Hata: “Sadece bir kez yazacağım” diyerek kurtarma kelimelerini formda girmek.

2) Airdrop Hunter (çok link, çok claim)
Risk: Fake airdrop sayfasında cüzdan bağlayıp wallet drainer imzası vermek veya unlimited allowance onaylamak.
Model: İşlem cüzdanı kullan, izinleri minimum tut, düzenli revoke kontrolü yap.
Hata: Aynı cüzdanla 20–30 farklı siteye bağlanmak ve izinleri hiç temizlememek.

3) Borsa Odaklı Yatırımcı (SMS 2FA ile rahat)
Risk: Sahte borsa sitesi veya SIM swap ile hesap ele geçirme; çekim kısıtları yoksa hızlı kayıp.
Model: TOTP/passkey + çekim beyaz liste + 24–48 saat bekleme, e-posta sertleştirme.
Hata: E-postayı zayıf bırakmak ve güvenlik bildirimlerini kapatmak.

 

Airdrop scam ve fake airdrop: “claim” tuşuna basmadan önce

Airdrop scam nasıl anlaşılır sorusunda en büyük ipucu, “bedava” ile “acele”nin aynı cümlede geçmesidir. Fake airdrop sayfaları genelde “eligible oldun” diyerek sizi hedefler ve cüzdan bağlatır. Sonra iki kritik noktadan biri gelir: (1) “claim” için işlem imzalamanızı ister, (2) “gas ücreti için” sizden küçük bir transfer talep eder. Burada küçük dediğimiz rakam bile tehlikelidir; çünkü amaç bazen para almak değil, sizi bir izin ekranına götürmektir. Airdrop avcılarının sık yaptığı hata, aynı cüzdanla her şeye bağlanmaktır. Pratik çözüm: airdrop denemeleri için ayrı bir “işlem cüzdanı” ve bu cüzdanda sınırlı bakiye. Örneğin, sadece gas için 0.01–0.05 aralığında bir bütçe tutup, ana varlıkları asla bu cüzdanda taşımamak riskin etkisini sınırlar.

Airdrop sayfasını doğrulamak için 7 kontrol: (1) Projenin resmi sitesinden link çıkıyor mu, (2) resmi sosyal kanallarda aynı link var mı, (3) alan adı birebir aynı mı, (4) cüzdan bağlanınca sizden “approve” veya “setApprovalForAll” gibi izin mi istiyor, (5) imza metni anlaşılır mı, (6) işlem simülasyonu yapan cüzdanlar uyarı veriyor mu, (7) sayfa “seed phrase” veya “private key” istiyor mu (bu varsa anında çık). Ayrıca “airdrop claim” sayfalarında sık görülen bir işaret, çok fazla zinciri desteklediğini iddia etmesidir: aynı sayfa 10+ ağ listeliyorsa, bu genelde geniş kitleye tuzak kurma niyeti olabilir. Güvenlikte ideal refleks: claim yapmadan önce 2 dakika ara ver, linki kopyalayıp not al, sonra farklı bir kaynaktan doğrula.

 

Wallet drainer nedir? Cüzdan boşaltma dolandırıcılığı nasıl işler?

Wallet drainer nedir? Cüzdan boşaltma dolandırıcılığı, sizi “giriş” veya “claim” gibi masum bir işlem yapıyormuşsunuz gibi kandırıp, aslında varlıklarınızın transfer edilmesine veya varlıkları çekmeye yetki veren bir imza/işlem üretmenize dayanır. Drainer’lar genellikle akıllı sözleşme etkileşimi gibi görünür; siz cüzdan penceresinde bir şey görürsünüz ama metin teknik olduğu için okuyamazsınız. Bazı drainer senaryoları, tek seferde tüm varlığı çekmek yerine “izin” alıp sonra sessizce çekim yapar. Bu yüzden “imza attım, bir şey olmadı” hissi yanıltıcıdır; 5 dakika sonra veya 5 saat sonra çekim başlayabilir.

Korunma stratejisi üç katmanlıdır. Katman 1: işlem simülasyonu ve uyarı veren cüzdan/eklentiler kullanmak; uyarı geldiğinde otomatik “cancel” refleksi. Katman 2: izin yönetimi; “approve” ekranında miktarı sınırlamak ve “unlimited” izinleri rutin olarak temizlemek. Katman 3: cüzdan segmentasyonu; ana cüzdan (saklama) ile işlem cüzdanını ayırmak. Örneğin, DeFi denemeleri için ayrı bir cüzdan tutup, ana cüzdanı sadece transfer almak için kullanmak; işlem cüzdanında maksimum 2–3 günlük işlem bütçesi bırakmak. Bu yaklaşım, bir drainer’a yakalansanız bile kaybı sınırlayabilir. Ayrıca cihaz tarafında da basit bir kural: tarayıcıya rastgele eklenti kurmamak, “bedava NFT checker” gibi uzantılardan uzak durmak, drainer’ların tarayıcı üzerinden görünmez manipülasyon yapmasını zorlaştırır.

 

Approve scam, unlimited allowance ve revoke: token izinleri nasıl iptal edilir?

Approve scam nedir? Token izinleri, akıllı sözleşmelerin sizin adınıza token harcayabilmesine izin veren mekanizmadır. Bu mekanizma DeFi’nin temelidir; ancak dolandırıcılar bunu suistimal eder. Sizi bir “swap”, “claim” veya “stake” ekranına getirir ve “approve” işlemi imzalatır. Eğer bu izin “unlimited allowance” olarak verilirse, o sözleşme (veya o sözleşmeyle bağlantılı kötü niyetli bir çekim akışı) cüzdanınızdaki ilgili token’ı limit olmadan çekebilir. Bu yüzden unlimited allowance nedir sorusu, sadece teknik bir tanım değil; doğrudan risk tanımıdır. Güvenli yaklaşım, izin verirken miktarı sınırlamak ve sadece o anki işlem için gereken kadar onaylamaktır.

Token izinleri nasıl iptal edilir? “Revoke nedir kripto?” sorusu burada devreye girer: daha önce verdiğiniz token izinlerini geri almak (revoke) demektir. Pratik akış: (1) Cüzdanınızın bağlandığı dApp listesini gözden geçir, (2) hangi token için hangi sözleşmeye izin verdiğini kontrol et, (3) kullanılmayan veya “unlimited” olan izinleri iptal et, (4) iptal sonrası cüzdan bakiyesini ve işlem geçmişini kontrol et. Bu süreçte önemli bir detay: revoke işlemi de zincir üzerinde bir işlem olduğu için gas ücreti gerektirir; bu nedenle kullanıcılar erteleyebilir. Oysa ayda 1 kez 10 dakikalık revoke bakımı, büyük kayıpları engelleyebilir. Ayrıca izinleri iptal ederken “hepsini iptal et” gibi aşırı bir hamle, kullandığınız güvenilir dApp’lerde tekrar işlem yaparken sizi yavaşlatabilir; daha iyi yöntem, “riskli ve kullanılmayanları” hedeflemek ve özellikle yüksek değerli stablecoin/token izinlerini sıkı tutmaktır.

 

Seed phrase dolandırıcılığı: private key paylaşılır mı?

Seed phrase dolandırıcılığı, kripto dolandırıcılığının en net “kırmızı çizgi”sini hedefler: kurtarma kelimeleri. Seed phrase, cüzdanınızın ana anahtarıdır; birisi bunu alırsa, şifreye, telefona, 2FA’ya ihtiyaç duymadan varlıklarınızı taşır. “Private key paylaşılır mı?” sorusunun cevabı da aynı çizgide nettir: hayır, hiçbir koşulda paylaşılmaz. Dolandırıcılar bunu farklı ambalajlarla ister: “cüzdan senkronizasyonu”, “hata düzeltme”, “airdrop claim”, “destek doğrulaması”, “kayıp token kurtarma” gibi. Bu ambalajların hepsi bir noktada sizi kelimeleri yazmaya iter. İşte o noktada işlem bitmiştir; çünkü saldırganın hedefi tek seferlik transfer değil, cüzdanınızın kontrolüdür.

Korunma için iki temel pratik: (1) seed phrase’i sadece offline ortamda saklamak, (2) seed phrase’i dijital ortama kopyalamamak. Ekran görüntüsü almak, buluta yedeklemek, not uygulamasına yazmak, e-posta atmak gibi davranışlar riski büyütür. Daha güvenli yaklaşım, fiziksel saklama ve erişim disiplinidir: örneğin 2 kopya, 2 ayrı güvenli yerde, üçüncü bir kişinin erişemeyeceği biçimde. Ayrıca “seed checker” gibi araçlar da tuzak olabilir; hiç kimse seed phrase’i doğrulamak için online forma ihtiyaç duymaz. Eğer bir platform sizden seed phrase istiyorsa, o platform “cüzdan” değil, “dolandırıcılık formu” olma olasılığı çok yüksektir. Donanım cüzdan kullananlar için de kural değişmez: donanım cüzdanın ekranında onaylamadığınız hiçbir işlem güvenli sayılmaz ve seed phrase cihaz dışına yazılmaz.

 

Rug pull, honeypot token, pump dump: yatırım odaklı scam’ler

Kripto yatırım dolandırıcılığı tarafında üç klasik başlık öne çıkar: rug pull nedir, honeypot token nedir, pump dump nedir. Rug pull, proje ekibinin likiditeyi çekmesi veya piyasayı terk etmesiyle yatırımcının ortada kalmasıdır. Honeypot, alım yapılabilen ama satımın kısıtlandığı veya satımda aşırı vergi/engel olduğu token tuzaklarıdır. Pump dump ise belirli grupların fiyatı hızlı şişirip (pump) ardından topluca satmasıyla (dump) geç gelenleri zararda bırakmasıdır. Bu tür scam’ler, genellikle “garanti kazanç” dilini sever; bazen de “içeriden bilgi” hissi vererek topluluk oluşturur. Buradaki risk, sadece teknik değil; bilgi asimetrisidir: siz geç kalırsınız, onlar erken çıkar.

Korunma için yatırım tavsiyesi vermeden uygulanabilir kontroller: (1) Likidite kilidi ve kilit süresi var mı; “30 gün kilitli” gibi ifadeler tek başına yetmez, kilidin mantığı anlaşılmalı, (2) token dağılımı aşırı yoğun mu; tek cüzdanın %20–30+ tutması risk sinyalidir, (3) sözleşmede satım kısıtları veya transfer vergileri aşırı mı; “%10 vergi” bile kısa vadede çok şey değiştirebilir, (4) proje iletişimi şeffaf mı; sadece hype var, ürün yoksa risk artar, (5) listelendiği borsa/dApp güvenilir mi ve sahte link riski var mı. Bu kontrollerin hiçbiri tek başına kesin garanti vermez; fakat “kırmızı bayrak sayısını” azaltır. Ayrıca portföy yönetimi tarafında da basit bir kural: tek bir projeye tüm sermayeyi bağlamak yerine, riskli denemeleri küçük yüzdelerle sınırlamak, scam gerçekleşse bile hasarı yönetilebilir kılar.

 

SIM swap nedir kripto için? SMS 2FA neden zayıf kabul edilir?

SIM swap nedir kripto bağlamında? Telefon numaranızın operatör tarafında başka bir SIM/eSIM’e taşınmasıyla, SMS doğrulama kodlarının saldırgana gitmesine yol açan hesap ele geçirme yöntemidir. Kripto borsa hesapları, şifre sıfırlama ve çekim onaylarında SMS kullanıyorsa, SIM swap zincirin kritik halkası olur. “SMS 2FA neden zayıf?” sorusu da burada netleşir: SMS, telefona değil numaraya bağlıdır; numara ise operatör süreçleriyle taşınabilir, sosyal mühendislikle hedef alınabilir. Bazı senaryolarda saldırgan, önce e-postayı hedefler, sonra SIM swap ile 2FA’yı aşar; bazen de tersine, numarayı alınca e-postanın şifresini sıfırlar. Bu, borsa + e-posta + telefon üçlüsünün birlikte düşünülmesi gerektiğini gösterir.

Pratik savunma adımları: (1) Borsada SMS 2FA’yı kapatıp TOTP veya passkey’e geçmek, (2) e-posta hesabını da aynı seviyede sertleştirmek, (3) çekim adresi beyaz liste ve 24–48 saat bekleme gibi kısıtları açmak, (4) operatörde hat kilidi/işlem PIN’i gibi ek güvenlikleri aktif etmek, (5) “şebeke gitti” gibi anlarda beklemek yerine ilk 10 dakika refleks planını uygulamak. Bu plan, “hesabı dondur, şifre değiştir, oturumları kapat, destekle iletişim kur” gibi adımlardan oluşur. Burada amaç saldırganı tamamen durdurmak değil; ona zaman kazandırmamak ve çekim için gereken pencereleri kapatmaktır.

 

Kripto dolandırıldım ne yapmalıyım? İlk 24 saat kurtarma planı

“Kripto dolandırıldım ne yapmalıyım?” sorusunda ilk 24 saat, duygusal tepkiden ziyade prosedürle yönetilmelidir. İlk 15 dakikada hedef, kanamayı durdurmaktır: (1) cüzdan bağladıysan siteyi kapat, (2) token izinlerini kontrol edip riskli izinleri iptal et, (3) borsa hesabında şifreyi değiştir ve oturumları kapat, (4) e-posta hesabında cihaz oturumlarını temizle, (5) çekim adresi/çekim talebi varsa iptal etmeye çalış. Eğer bir wallet drainer şüphesi varsa, en hızlı hamle varlıkları “temiz” bir cüzdana taşımak olabilir; ancak bu hamle panikle değil, doğru ağ ve doğru adres kontrolüyle yapılmalıdır. Yanlış ağ/yanlış adres hatası, dolandırıcılıktan bağımsız bir kayıp yaratabilir; bu yüzden transfer yapacaksanız 2 kez kontrol ve küçük test transferi (ör. önce %1 gibi) yaklaşımı daha güvenlidir.

İlk 2 saat içinde yapılacaklar: (1) borsa desteğiyle iletişim kurup olay kaydı açmak, (2) bankacılık ve e-posta tarafında şüpheli oturumları kapatmak, (3) cihazda zararlı eklenti/uygulama olup olmadığını kontrol etmek, (4) ilgili cüzdan adreslerini ve işlem hash’lerini belgelemek, (5) topluluklarda “yardım” diye DM atanlara asla cevap vermemek. İlk 24 saatte ise iki hedef vardır: kalıcılığı kaldırmak ve tekrarını önlemek. Kalıcılık, yönlendirme kuralı, eklenen API anahtarı, eklenen çekim adresi, eklenen cihaz gibi yerlerde gizlenebilir. Bu yüzden borsada “güvenlik” panelini baştan sona gezmek, e-postada “kurallar/filtreler” kısmını kontrol etmek, cüzdanda izin bakımını yapmak ve yeni bir güvenlik standardı belirlemek gerekir. Ayrıca olay sonrası “her şeyi kapatayım” refleksi de hatalı olabilir; bildirimleri kapatmak yerine, tam tersine güvenlik bildirimlerini aktif tutmak erken uyarı sağlar.

 

Tam savunma paketi: rutinler, karar matrisi ve hata avcısı

Kripto dolandırıcılığından nasıl korunulur sorusunun en işe yarayan yanıtı, “tek ayar” değil “rutin” kurmaktır. Rutin dediğimiz şey, her işlem öncesi 6 adımlık kontrol ve ayda bir yapılan 10 dakikalık bakım gibi küçük ama düzenli davranışlardır. Örneğin: cüzdan bağlamadan önce alan adını kontrol et, işlem penceresinde izin/harcama metnini oku, gerekiyorsa izin miktarını sınırla, işlem cüzdanında sadece sınırlı bakiye tut, ana cüzdanı sadece saklama için kullan, önemli hesaplarda SMS 2FA’yı kapat. Bu düzen, riskinizi bir gecede sıfırlamaz ama “kolay hedef” olmaktan çıkarır.

Şimdi kendi seviyenizi hızlı puanlamak için karar matrisi, ardından en sık yapılan hatalar ve en sonda kontrol listesi gelecek. Bu modüller, karmaşık güvenlik tavsiyelerini uygulanabilir hale getirir: “ne yapacağım” netleşir, “ne zaman yapacağım” planlanır.

Karar Matrisi (Evet=2 / Kısmen=1 / Hayır=0)

  • Borsada SMS 2FA kapalı ve TOTP/passkey etkin mi?
  • DeFi/airdrop işlemleri için ayrı bir işlem cüzdanı kullanıyor musun?
  • Unutulmuş “unlimited allowance” izinlerini ayda en az 1 kez revoke ediyor musun?
  • Seed phrase’i offline saklıyor ve dijital ortama hiç yazmıyor musun?
  • Çekim beyaz liste + 24–48 saat bekleme gibi kısıtlar aktif mi?

Skor Yorumu:
0–7: Riskli alışkanlıklar baskın; önce SMS’ten çıkış, seed disiplini ve işlem cüzdanı ayrımı kurulmalı.
8–13: Orta seviye; izin (approve) yönetimi ve çekim kısıtları güçlendirilirse dolandırıcılık etkisi azalır.
14–20: Sağlam temel; düzenli bakım, bildirimler ve cihaz hijyeniyle sürdürülebilir güvenlik yakalanır.

Mini Sözlük

Phishing: Sahte arayüz ve linklerle kullanıcıdan şifre, kod veya imza/izin koparmaya çalışan sosyal mühendislik yöntemi.

Wallet drainer: Cüzdan bağlama ve imza ekranlarını suistimal ederek varlıkları çekmeye veya çekim yetkisi almaya çalışan dolandırıcılık altyapısı.

Approve / Allowance: Bir sözleşmenin belirli token’ları sizin adınıza harcamasına izin vermek; “unlimited” yüksek risk yaratabilir.

Revoke: Daha önce verilmiş token izinlerini iptal etmek; kullanılmayan izinleri kapatmak için bakım adımı.

Rug pull: Proje ekibinin likiditeyi çekmesi veya piyasayı terk etmesiyle yatırımcıyı zararda bırakması.

SIM swap: Telefon numarasının izinsiz taşınmasıyla SMS doğrulamanın saldırgana geçmesi; hesap ele geçirmede kullanılır.

Hata Avcısı: En sık yapılan 10 hata

  • Hata: Sponsorlu arama sonucundan borsa linkine girmek.
    Sonuç: Sahte borsa sitesine şifre/2FA verilip hesap ele geçirilebilir.
    Önlem: Resmi linki bir kez doğrula, yer imi kullan, her girişte alan adını kontrol et.
  • Hata: DM’den gelen “destek” mesajını gerçek sanmak.
    Sonuç: Sahte destek ekibi linke yönlendirip seed veya imza alabilir.
    Önlem: DM yok; sadece resmi ticket/uygulama içi destek.
  • Hata: Seed phrase’i not uygulamasına/galeriye yazmak.
    Sonuç: Cihaz ele geçirilirse cüzdan tamamen boşaltılabilir.
    Önlem: Seed offline; dijital ortama hiç taşımama.
  • Hata: Claim sayfasında imza/approve ekranını okumadan onaylamak.
    Sonuç: Wallet drainer veya unlimited allowance riski doğar.
    Önlem: İzinleri sınırla, şüpheli metinde işlemi iptal et.
  • Hata: Aynı cüzdanla 20+ dApp/airdrop sayfasına bağlanmak.
    Sonuç: İzin yüzeyi büyür, bir açık tüm varlıkları etkileyebilir.
    Önlem: İşlem cüzdanı ayrı, saklama cüzdanı ayrı; ayda 1 revoke bakımı.
  • Hata: Borsada SMS 2FA kullanmaya devam etmek.
    Sonuç: SIM swap ile 2FA aşılabilir, çekim zinciri açılabilir.
    Önlem: TOTP/passkey; çekim beyaz liste + 24–48 saat bekleme.
  • Hata: E-postayı zayıf bırakmak (tekrar şifre, SMS 2FA).
    Sonuç: Şifre sıfırlama ile borsa hesabı ele geçirilebilir.
    Önlem: E-postada güçlü 2FA, oturum temizliği, yönlendirme kontrolü.
  • Hata: “Garanti kazanç” vaat eden gruplara para göndermek.
    Sonuç: Yatırım dolandırıcılığı veya pump dump mağduriyeti oluşur.
    Önlem: Vaade değil veriye odaklan; riskli denemeleri küçük oranla sınırla.
  • Hata: Sahte uygulamayı indirip seed phrase girmek.
    Sonuç: Cüzdan anahtarı saldırgana gider, geri dönüş zorlaşır.
    Önlem: Uygulamayı resmi yönlendirmeden indir; yayıncı ve yorum tutarlılığını kontrol et.
  • Hata: Şebeke kesilmesini “operatör arızası” diye saatlerce beklemek.
    Sonuç: SIM swap zinciri tamamlanıp çekim yapılabilir.
    Önlem: İlk 10 dakika planı: operatör + e-posta + borsa acil adımları.

Kontrol Listesi

Transfer Öncesi (6 adım)

  • Link/alan adı doğrulandı mı (yer imi veya resmi kaynak eşleşmesi) ve reklam linki kullanılmadı mı?
  • Cüzdan bağlanacaksa işlem cüzdanı mı kullanılıyor ve bakiye sınırlı mı (ör. sadece işlem bütçesi)?
  • İmza/işlem penceresinde “approve/allowance” var mı; varsa miktar sınırlı mı, unlimited değil mi?
  • Borsada çekim adresi beyaz liste açık mı ve yeni adres eklenirse 24–48 saat bekleme var mı?
  • E-posta ve borsa oturumları temiz mi; tanımadığın cihaz var mı, bildirimler açık mı?
  • İşlemden önce 60 saniye “dur-kontrol” yapıldı mı (2 dakika kuralı)?

Aylık Bakım Rutini (6 adım)

  • Revoke bakımı: kullanılmayan izinleri temizle, unlimited allowance’ları kapat.
  • Hesap bakımı: e-posta ve borsada oturumları kontrol et, şüpheli cihazları çıkar.
  • 2FA yükseltme: SMS 2FA varsa kapat, TOTP/passkey planını tamamla.
  • Cihaz hijyeni: tarayıcı eklentilerini azalt, gereksiz uygulamaları kaldır, güncellemeleri yükle.
  • Yedek plan: kurtarma kodlarını doğrula, offline saklama düzenini kontrol et.
  • Topluluk filtreleri: DM ayarlarını gözden geçir, sahte destek senaryolarına karşı kuralları tazele.

Kripto dolandırıcılığında en büyük avantaj, teknik bilgi değil; doğru refleks ve disiplinli rutindir. Link doğrulama, izin (approve) yönetimi, seed phrase disiplini ve hesap güvenliğini (özellikle SMS 2FA yerine daha güçlü yöntemler) birlikte uyguladığınızda, dolandırıcıların kullandığı “kolay hedef” penceresi kapanır. Bugün 15 dakika ayırıp iki şeyi tamamlayın: kullandığınız cüzdanın izinlerini gözden geçirip şüpheli izinleri temizleyin ve borsa/e-posta tarafında SMS 2FA varsa daha dayanıklı bir yönteme geçiş planınızı başlatın.

SSS

Kripto phishing nedir?
Gerçek platformları taklit eden sayfalarla kullanıcıdan şifre, doğrulama kodu veya cüzdan imzası/izin koparmaya çalışan dolandırıcılıktır.

Phishing linki nasıl anlaşılır?
Alan adını harf harf kontrol etmek, resmi kaynaktan doğrulamak, reklam/DM linklerinden kaçınmak ve cüzdan penceresindeki izin/işlem metnini okumak en etkili sinyallerdir.

Wallet drainer nedir?
Cüzdan bağlama ve imza akışını suistimal ederek varlık transferi yaptıran veya sınırsız izin alıp sonradan çekim yapan dolandırıcılık altyapısıdır.

Unlimited allowance nedir, neden riskli?
Bir sözleşmeye token harcama limiti olmadan izin vermektir; kötü niyetli veya ele geçirilmiş sözleşmeler token’ları limit olmadan çekebilir.

Kripto dolandırıldım ne yapmalıyım?
İlk adım hasarı durdurmaktır: izinleri kontrol et/revoke et, şifreleri değiştir, oturumları kapat, borsa desteğiyle olay kaydı aç ve şüpheli işlemleri belgeleyip tekrarını önleyecek rutinleri kur.

İç Linkler

⚠️ Önemli Not: Bu içerik genel bilgilendirme amaçlıdır. Yatırım tavsiyesi değildir. Burada yer alan hiçbir ifade “al / sat / tut” önerisi değildir. Kripto varlıklar yüksek risk ve volatilite içerir; karar almadan önce kendi araştırmanızı yapın ve gerekirse lisanslı bir uzmana danışın. Tüm kararlar sizin sorumluluğunuzdadır...

© bitcoinkactl.com

Tags: Kripto

İlgili Yazılar

0 Yorum

Bu içeriğe henüz yorum eklenmemiş.

Yorum Gönder

Yorumunuz onay sürecinden geçtikten sonra yayınlanacaktır, lütfen bunu düşünerek argo kelime içermeyen yorumlar gönderin.