Bir phishing e-postası bazen sadece bir e-posta değildir. Bazen, arkasında küçücük görünen ama aslında katman katman örülmüş bir dolandırıcılık ağı vardır. Paolo Costanzo’nün anlattığı hikâye de tam böyle bir şey: Paskalya günü gelen sıradan bir mesajın peşine düşüyor, sonra işin üçü Telegram’daki Rusça rehberlere, kripto cüzdan boşaltan panellere (eh, fena değil). “geri alacağız” vaadiyle ikinci kez avlanan mağdurlara kadar gidiyor.
Bi saniye — Açık konuşayım, bu tür dosyalarla uğraşırken insanın aklına ilk gelen şey teknik detay olmuyor. İlk gelen şey şu oluyor: “Bu düzenek kaç kişiyi daha vurdu?” Çünkü mesele yalnızca kötü niyetli birkaç script değil; planlı, tekrar eden ve bayağı profesyonel çalışan bir yapı var ortada (buna dikkat edin). Hani amatörce atılmış oltalardan söz etmiyoruz. Bu işte endüstri gibi çalışan bir suç ekosistemi var.
Ben de geçen yıl, 2024’ün Kasım ayında İstanbul’da küçük bir güvenlik topluluğu buluşmasında benzer bir oltalama kampanyasını inceleme fırsatı bulmuştum. O zaman fark etmiştim ki saldırganlar artık sadece link saklamıyor; psikolojiyi paketleyip servis ediyorlar. İşin aslı şu ki kullanıcıyı kandırmak için teknoloji kadar zamanlama da kullanılıyor. Bayram, tatil, fatura dönemi… yani kafanın başka yerde olduğu anlar.
Hmm, bunu nasıl anlatsamdı…
Asıl Karanlık Nokta: İkinci Kez Soyulan İnsanlar
Hikâyenin en can sıkıcı kısmı teknik olarak en süslü bölüm değil, duygusal olarak en kirli bölümü. Suçlular burada özellikle zaten parasını kaybetmiş insanları hedef alıyor. Önce yatırım dolandırıcılığıyla ya da sahte kripto fırsatlarıyla kurbanın cebini boşaltıyorlar… sonra da “paranı geri getireceğiz” diye yeniden sahneye çıkıyorlar (ciddiyim)
Bu yöntem bana 2023 yazında Londra merkezli küçük bir fintech firmasına yaptığım danışmanlığı hatırlattı. Orada da müşteri destek hattına düşen şikâyetlerin büyük kısmı ilk dolandırıcılıktan değil, ikinci turdan geliyordu. İnsanlar utandıkları için ilk kaybı saklıyor… sonra kurtarma vaadi görünce refleksle atlıyor. Maalesef çok tanıdık bir tablo (ki bu çoğu kişinin gözünden kaçıyor)
Ve işler burada ilginçleşiyor. Tamir Edilmesi En Zor Dizüstüler: Apple Neden Dipte? yazımızda bu konuya da değinmiştik. Netflix’in Türkiye’deki Yeni Oyuncu Çağrısı: Şans, Set ve Basketbol yazımızda bu konuya da değinmiştik.
Buradaki manipülasyonun gücü tam da bu noktada yatıyor: umut satıyorlar. Para iadesi umudu, mahkeme korkusu, hesap dondurma tehdidi (ciddiyim). hepsi aynı sepette. Ve evet, çikolata yumurtası hâlâ ambalajındaysa sebebi biraz da bu; herkes paketin üstüne bakarken içindeki zehri kaçırabiliyor. Bu konuyla ilgili Honda’nın Çin Şoku: Bir CEO’nün İtirafı Ne Anlama Geliyor? yazımıza da göz atmanızı tavsiye ederim. Türkiye’nın BYD Dosyası: Ceza, Fabrika ve Piyasa Gerilimi yazımızda da bu konuya değinmiştik. Discord Botu ile Rakip Paylaşımlarını Anında Yakala yazımızda da bu konuya değinmiştik.
Tegmen Gibi Değil, Fabrika Gibi Çalışan Bir Dolandırıcılık
Araya gireyim: Dosyada anlatılan yapıyı ilginç yapan şeylerden biri ölçeği. Tek tek hazırlanmış rastgele oltalar yok; neredeyse ürünleşmiş bir sistem var karşımızda. NcAffiliateDrainer adı verilen setler, yaklaşık 319 KB civarında JavaScript parçaları. Cüzdan izinlerini zorlayan akışlarla çalışıyorlar.
Doğrusu, Bunu günlük hayattan şöyle düşünün: Kapınızın önünde biri anahtar kopyalamaya çalışmıyor; apartmanın tamamına yedek anahtar dağıtan sahte bir yönetim ofisi kurulmuş gibi davranıyorlar. Landing page şablonları hazır, yardım masası hazır (evet (inanması güç) ama scammers için helpdesk bile var), iletişim dili hazır — valla güzel iş çıkarmışlar —. yani çorap söküğü gibi ilerleyen bir sistem.
Daha önce Ekim 2024’te Ankara’da yerel bir siber güvenlik etkinliğinde buna benzer kitleri incelemiştim ve beni en çok şaşırtan şey hız olmuştu. Bir şablon değişiyor… beş dakika sonra başka forumda yeni sürüm dönüyordu. Burada manuel suçtan ziyade yarı otomatik operasyon mantığı baskın.
| Bileşen | Ne işe yarıyor? | Neden önemli? |
|---|---|---|
| NcAffiliateDrainer | Cüzdan boşaltma akışını yönetiyor | Saldırıyı seri üretime çeviriyor |
| JS yükü | Kullanıcı etkileşimini ve imzayı tetikliyor | Cüzdan onayı almayı kolaylaştırıyor |
Sıkça Sorulan Sorular
“Para geri verilecek” vaadiyle yapılan kripto dolandırıcılıklarını nasıl ayırt ederim?
İadesi garanti gibi sunulan bu tür senaryolarda genelde amaç, kaybı geri almak umuduyla yeni bir işlem yaptırmaktır. Sözde “kurtarma paneli”, “zorunlu ücret” ya da “hesap doğrulama” adı altında tekrar para talep eder. Bu noktada en doğrusu, iddiaları bağımsız kanallardan doğrulamak ve hiçbir şeye “anında” onay vermemektir.
Phishing e-postası tek seferlik mi olur, yoksa ikinci tur da yaygın mı?
İkinci tur çok daha yaygın olabiliyor; saldırganlar ilk kaybı yaşayan kişileri daha “hazır” hedef olarak görür. Özellikle bayram/tatil gibi dönemlerde mesajlar daha inandırıcı görünür ve mağdurlar daha hızlı aksiyon almaya meyilli olur. Benzer vakalarda asıl risk, ilk kaybı saklayıp sonra “geri alalım” mesajına tekrar düşmek oluyor.
Telegram’daki Rusça rehberler veya kripto panelleri güvenilir mi?
Telegram rehberleri ve “panel” diye geçen arayüzler çoğu zaman doğrudan dolandırıcılık akışının parçası oluyor. Dil engeli de kullanıldığı için kurbanlar ne istendiğini tam anlayamadan imza/işlem adımlarına ilerleyebiliyor. Kaynak güvenliği ve doğrulama yapılmadan hiçbir bağlantı veya uygulama üzerinden işlem yapmamak gerekiyor.
Bir e-posta phishing olabilir mi diye nasıl hızlı kontrol edebilirim?
Gönderen adı ile gerçek alan adı uyuşuyor mu, linkler beklediğiniz domain’e mi gidiyor, ek veya sayfa “acil” baskısı kuruyor mu bunlara bakın. Kurumsal görünse bile yazım hataları, garip URL’ler ve olağan dışı ödeme/kripto talimatları kırmızı bayraktır. Kurum içiyseniz e-postayı güvenlik ekibine raporlamak genelde en hızlı ve güvenli adımdır.
Olası bir phishing vakasında ilk adım olarak ne yapmalıyım?
Önce bağlantılara tıklamayı durdurun ve mümkünse oturumları kapatın/şifreleri değiştirin. Kripto tarafında işlem yapıldıysa ağ üzerinde doğrulama yapıp ilgili cüzdan hareketlerini kaydetmek önemli olur. Ben olsam “geri alalım” gibi mesajlara hemen cevap vermeden, resmi ve bağımsız destek kanallarına yönelirim; çünkü ikinci tur genelde oradan başlıyor.
Kaynaklar ve İleri Okuma
Microsoft Defender ile phishing koruması ve tespit
Phishing (Microsoft Security) – genel rehber
Azure güvenlik: kimlik ve erişim yönetimi
Microsoft Threat Intelligence Community (topluluk ve tehdit bilgileri)
20+ yıl deneyimli Azure Solutions Architect. Microsoft sertifikalı bulut mimari ve DevOps danışmanı. Azure, yapay zekâ ve bulut teknolojileri üzerine Türkçe teknik içerikler üretiyor.
İlgili Yazılar
Bu içerik işinize yaradı mı?
Benzer içerikleri kaçırmamak için beni sosyal medyada takip edin.
