Haberler 
Coin Bilgisi 
Hakkımızda 
Küresel donanım cüzdan kullanıcılarını hedef alan ‘sahte posta dolandırıcılığı’ yeniden gündemde. Ledger ve Trezor kullanıcılarının, fiziki posta yoluyla gönderilen mektuplar üzerinden ‘seed kurtarma ifadesi(seed phrase)’nin çalınması riskiyle karşı karşıya olduğu yönünde uyarılar artıyor.
Olay, siber güvenlik uzmanı Dmitry Smilyanets(Dmitry Smilyanets)’in 13 Şubat’ta Trezor adına gönderilmiş şüpheli bir mektup aldığını açıklamasıyla ortaya çıktı. Mektupta, kullanıcının 15 Şubat’a kadar ‘Authentication Check’ işlemini tamamlamaması halinde cihaz kullanımına kısıtlama getirilebileceği yönünde tehditkâr bir ifade yer alıyordu. Resmi bir bildirim izlenimi vermek için hologram ve QR kod bile eklenmişti ancak gerçekte kullanıcıyı zararlı bir siteye yönlendiren gelişmiş bir ‘phishing’ yöntemiydi.
Smilyanets’e göre bu mektup, Çek donanım cüzdan şirketi Trezor’un CEO’su Matěj Žák’ın imzasını taşıyormuş gibi hazırlanmıştı. Ancak metin içinde Žák, ‘Ledger CEO’su’ olarak yanlış tanıtılıyor, böylece iki şirketin isimleri bilinçli şekilde karıştırılarak kafa karışıklığı yaratılıyordu. 2023 Ekim’inde de bir Ledger kullanıcısı benzer içerikli bir mektup aldığını bildirmişti. O dönemdeki mektupta ise alıcıdan, zorunlu olduğu iddia edilen ‘Transaction Check’ sürecini tamamlaması istenmişti.
Bu mektupların temel aracı QR kod. Kullanıcı herhangi bir şüphe duymadan kodu taradığında, Ledger veya Trezor’un ilk kurulum ekranlarını taklit eden bir ‘phishing’ sitesine yönlendiriliyor. Görsel açıdan bakıldığında, resmi donanım cüzdan kurulum sayfalarından neredeyse ayırt edilemeyecek kadar özenle hazırlanmış durumda. Güvenlik konusunda tecrübesiz bir kullanıcı için bu tuzağı fark etmek oldukça güç.
Asıl sorun, bu sayfanın cüzdan kurtarma işlemi bahanesiyle kullanıcılardan ‘seed kurtarma ifadesi’ni girmelerini istemesi. Kullanıcı, kelime listesini eksiksiz şekilde girdiği anda bilgiler arka plandaki API üzerinden saldırganların sunucusuna iletiliyor. Saldırgan, bu ifadeleri kullanarak mağdurun cüzdanını kendi cihazına bire bir şekilde yeniden kuruyor ve içeride tutulan Bitcoin(BTC), Ethereum(ETH) gibi kripto para varlıklarını kolaylıkla çekebiliyor.
Normal şartlarda donanım cüzdan sağlayıcıları, hiçbir koşulda web sitesi, e-posta, posta veya başka bir kanal aracılığıyla ‘seed ifadesi’ talep etmiyor. Ledger ve Trezor da resmi dokümanlarında “kurtarma ifadesi bir başkasıyla paylaşıldığı anda cüzdan güvenliğinin tamamen çöktüğü” uyarısını defalarca yineliyor.
Bu dolandırıcılığın daha ciddi görülmesinin nedeni, Ledger ve Trezor çevresinde yıllardır biriken müşteri verisi sızıntıları. Ledger ve birlikte çalıştıkları üçüncü taraf lojistik ile pazarlama firmaları, son yıllarda birkaç kez büyük çaplı veritabanı ihlallerine maruz kaldı. Bu sırada, müşterilerin isimleri, e-posta adresleri, telefon numaraları ve posta gönderimi için kullanılan fiziksel adresleri dışarı sızdı.
Bu bilgiler daha sonra karanlık ağ gibi ortamlarda yeniden satılıyor. Sonuç olarak alıcılar yalnızca spam ve ‘phishing’ e-postalarına değil, bu son olayda görüldüğü gibi fiziki posta üzerinden yürütülen çok daha sofistike saldırılara da maruz kalıyor. Basit varlık hırsızlığının ötesinde, yüksek bakiyeli cüzdan sahiplerinin özellikle hedef alınarak fiziki tehdit ve şantaja uğrama riski de siber güvenlik çevrelerinin dikkat çektiği bir başka nokta.
Trezor, 2024 Ocak’ında yaklaşık 66 bin müşterinin iletişim bilgilerinin sızdığı bir güvenlik olayını resmi olarak kabul etmişti. Şirket o dönem, “seed kurtarma ifadesi ve cüzdan şifreleri gibi bilgiler sızdırılmadı” vurgusunu öne çıkarsa da, yalnızca iletişim ve adres bilgilerinin bile ‘phishing’ saldırıları için fazlasıyla yeterli olduğu eleştirileri gündeme gelmişti.
Ledger ve Trezor kullanıcılarını hedef alan ‘offline’ saldırılar ilk kez yaşanmıyor. 2021’de, 2020’deki Ledger veri sızıntısının mağdurlarına yönelik başka bir saldırıda, dolandırıcılar sahte Ledger Nano cihazlarını gerçek kargo gibi posta yoluyla göndermişti. Saldırganlar, orijinal ambalajı ve bilgilendirme notlarını bile inandırıcı şekilde taklit ederek, alıcıların bunu yeni bir cihaz sanıp ‘seed ifadesi’ni girmesini sağlamaya çalışmıştı.
2025 Nisan’ında, QR kod taramaya yönlendiren mektupların bir kez daha toplu halde gönderildiği bildirildi. Ardından Mayıs’ta, Ledger Live uygulamasını taklit eden sahte bir mobil uygulama ortaya çıktı. Bu sahte yazılım, kullanıcıların girdiği ‘seed’ ifadelerini çalıyor ve cüzdanlardaki kripto paraları saldırganların hesaplarına aktarıyordu.
Ledger, bu fiziki posta tabanlı saldırı girişimlerinin tekrarlanması üzerine 2025 Ekim’inde resmi web sitesinden bir duyuru yayımladı ve “hiçbir koşulda posta yoluyla kurtarma ifadesi girilmesi yönünde bir talepte bulunmayacağını” belirterek kullanıcıları uyardı. Trezor da benzer saldırılar konusunda bilgilendirme ve uyarılarını sıklaştırdı, resmi kanallar dışındaki tüm yönlendirmelerin şüpheyle karşılanması gerektiğinin altını çizdi.
Ledger ve Trezor her ne kadar yurt dışı merkezli şirketler olsa da, Türkiye’de de Bitcoin(BTC), Ethereum(ETH), Solana(SOL) gibi önde gelen varlıkları uzun vadeli saklamak isteyen bireysel yatırımcılar arasında yaygın şekilde kullanılıyor. Bu nedenle, benzer ‘offline phishing’ yöntemlerinin yerli yatırımcılara kadar uzanması olasılığı da göz ardı edilmiyor.
Piyasa uzmanları, art arda yaşanan veri sızıntıları ve dolandırıcılık girişimleriyle ilgili olarak “donanım cüzdanları, blokzincir üzerindeki varlıkları güvenli şekilde saklamak için tasarlandı ancak kullanıcının güvenlik bilinci delinirse bunun bir anlamı kalmaz” yorumunda bulunuyor. Özellikle posta, telefon ve mesajlaşma uygulamaları gibi daha ‘analog’ iletişim kanalları üzerinden gelen taleplerin, kullanıcıların gardını düşürme konusunda daha etkili olduğuna dikkat çekiliyor.
Donanım cüzdan kullanıcılarının, isim ve adres bilgilerinin çoktan sızmış olabileceği ‘en kötü senaryo’yu hesaba katarak güvenlik alışkanlıklarını gözden geçirmelerinde fayda var. Her koşulda, kurtarma ifadesi yalnızca cüzdan sahibinin bileceği şekilde saklanmalı ve mümkün olduğunca çevrimdışı, güvenli bir ortamda korunmalı. Mektup, e-posta, web sitesi, uygulama veya telefon gibi herhangi bir kanal üzerinden ‘seed ifadesi’ talep edilmesi, bunun doğrudan bir dolandırıcılık girişimi olduğu anlamına geldiği için kullanıcıların bu konuda son derece dikkatli olması gerekiyor.
Yorum 0