Birkaç savaş yarasına ve zorlukla kazanılmış bilgeliğe sahip tecrübeli bir kripto yatırımcısı olarak, ScamSniffer’ın son raporunu okuyunca endişeden kendimi alamıyorum. Önemli bireysel kayıplara ve milyonlarca değerinde toplu hasara neden olan kimlik avı saldırılarındaki endişe verici artış, kripto dünyasının siber suçlular için cazip bir hedef olmaya devam ettiğinin açık bir hatırlatıcısıdır.
ScamSniffer’ın yıl ortası raporu, kripto para birimleriyle ilgili kimlik avı saldırılarındaki eğilimleri ortaya koyuyor. Özellikle, 2024’ün ilk yarısında EVM zincirlerinde 260.000’den fazla kişi toplam 314 milyon dolarlık kayıp yaşadı. Bu, bir önceki yılda çalınan 295 milyon dolara göre önemli bir artışı temsil ediyor. Bu rakamlar, kripto kullanıcılarını hedef alan kimlik avı planlarının artan karmaşıklığının ve yaygınlığının altını çiziyor.
Önemli bireysel kayıplar
Bir analist olarak yakın zamanda gerçekleşen bir kimlik avı dolandırıcılığıyla ilgili bazı rahatsız edici bilgileri ortaya çıkardım. Bu olayda toplam yirmi kişi saldırganların tuzağına düştü ve her biri birer milyon dolardan fazla para kaybetti. Bu kayıpları topladığımızda 58 milyon dolarlık şaşırtıcı bir rakama ulaşıyoruz. Bu kurbanlar arasında talihsiz bir kişi on bir milyon dolarlık zarara uğradı. Bu vaka, kayıtlı tarihteki en büyük ikinci kripto soygunu olarak yer alıyor.
Kimlik avı teknikleri
Raporda, bildirilen hırsızlıkların çoğunluğunun “İzin”, “Allowance Artışı” ve “Uniswap İzni2” gibi imzaları taşıyan kimlik avı saldırılarından oluştuğuna dikkat çekildi. Kullanıcılar, görünüşte güvenilir bir hizmetten farkında olmadan yararlanabiliyor, yalnızca fonlarının iyi niyetli bir işlem gibi görünen bir işleme aktarılması için sonuçta önemli varlık kayıplarına yol açabiliyor.
Siber güvenlik tehditleri üzerinde çalışan bir araştırmacı olarak, bazı kullanıcıların Twitter’daki yorumlar aracılığıyla bilmeden kimlik avı dolandırıcılıklarının kurbanı olduklarını keşfettim. Bu yorumlar, güvenilir markalar gibi davranan sahte hesaplardan kaynaklanmaktadır. Son zamanlarda kimlik avı gruplarının, tanınmış projelerin meşru tweet’leri altında sohbet başlatmak için bot hesaplarını kullandığını gözlemledim. Bu kurnaz strateji, kullanıcıları, hassas bilgileri çalmak üzere tasarlanmış sahte formlarla karşılaşacakları kötü amaçlı web sitelerini ziyaret etmeye teşvik ederek sosyal mühendislik tekniklerinden yararlanıyor.
Kimlik Avı saldırılarının Ayrıntılı Dağılımı
İlgili Varlıklar:
İzin desteğinin etkisiyle telafisi mümkün olmayan hisseli varlıklarda önemli kayıplar görüldü. Etkilenen diğer varlıklar arasında staking ve yeniden stake etme, Aave teminatı ve Pendle tokenleri vardı. Bu belirli varlıkların odak noktası, kripto para piyasasındaki değerleri ve likiditeleri gibi görünüyor ve bu da onları saldırganların ana hedefi haline getiriyor.
Saldırı vektörleri:
Siber güvenlik tehditleri üzerinde çalışan bir araştırmacı olarak, kimlik bilgileri doldurmanın ve sahte cüzdan kullanımının birçok saldırıda yaygın taktikler olduğunu keşfettim. Saldırganlar, kurbanlara doğrudan mesaj göndermek veya e-posta göndermek yerine, kimlik avı için tercih ettikleri yöntem olarak genellikle büyük önemli hesaplardan gelen tweetlerin altındaki yorumları kullandı. Bu kötü niyetli botlar, isteklerine meşruiyet kazandırmak için yetkili hesapları taklit edecek.
Önleme İpuçları
Kullanıcılar milyonlarca değerindeki kripto paralarını kurtarabilecek bu basit ipuçlarını takip edebilir.
1. Görünürlüğü artırın:
Kimlik avı saldırılarıyla mücadeleye odaklanmış bir araştırmacı olarak, büyük kimlik avı imzalarının sunumunu geliştirmenin savunmamızı önemli ölçüde güçlendirebileceğine inanıyorum. Bu işaretleri daha net ve daha erişilebilir bir görüntü için optimize ederek, potansiyel tehditlere karşı kendimizi daha iyi hazırlayabilir ve kimlik avı dolandırıcılıklarının kurbanı olma olasılığını azaltabiliriz.
2. Kullanıcı eğitimi:
Kripto endüstrisinde kullanıcı güvenliğini sağlamak için bireylerin şüpheli imzaları onaylamaktan ve potansiyel olarak zararlı içerik içeren bağlantılara girmekten kaçınmak konusunda eğitilmesi çok önemlidir. Farkındalığı teşvik eden ve bilgilendirici kaynaklar sağlayan kampanyalar, kullanıcıların daha akıllıca seçimler yapmalarını ve kripto para dünyasının daha az tehlikeli alanlarında gezinmelerini sağlayabilir.
3. Güvenli depolama:
Güvenlik nedeniyle özel anahtarlarınızı bulut hizmetlerinde saklamamanız veya WeChat gibi mesajlaşma uygulamaları aracılığıyla paylaşmamanız önemle tavsiye edilir. Uygun güvenlik önlemleri, yetkisiz kişilerin bu anahtarlara erişememesini sağlar.
4. Doğrulama araçları:
Bir araştırmacının bakış açısına göre, açık bir şekilde hileli olmayabilecek belirteçlerin kimlik doğrulaması söz konusu olduğunda, Güvenlik Algılama’yı değerli bir kaynak olarak kullanmanızı tavsiye ederim. Bu araç, bu tokenlerin meşruiyetini sağlamada ve dolayısıyla kullanıcıları potansiyel dolandırıcılıklardan korumada çok önemli bir rol oynuyor. Temel olarak Güvenlik Tespiti, tokenizasyon için önemli bir yardımcı olarak hizmet eder ve ek doğrulama yetenekleri sağlayarak avantajlarını artırır.
2024-07-05 13:38