Buradaki bütün numara, en az tetikte olduğun anda önüne korkutucu bir cümle koymaktır: "Hesabında şüpheli giriş, hemen doğrula", "Bir para çekme talebi gönderildi — bu sen değilsen iptal etmek için buraya dokun." Midene bir taş oturur ve beynin tartmadan önce parmağın dokunur. Hesabını hacklemesine gerek yok; sadece panik içinde anahtarları kendin teslim etmene ihtiyacı var. Bu yazının sonunda bunun neden işe yaradığını ve bu mesajların neredeyse hepsini engelleyen tek kuralı bileceksin.
- Gönderen numarası, gönderen e-postası ve bir bağlantıda gösterilen metin hepsi taklit edilebilir — "kimden geldiğine" bakmak anlamsızdır.
- Tek bir kesin kural yeter: bir SMS ya da e-postadaki hiçbir bağlantıya tıklama; hesabını kontrol etmek için resmi alan adını kendin yaz ya da resmi uygulamayı aç.
- Gerçek platformlar seni giriş yapmaya ya da kimliğini doğrulamaya iten bir bağlantıyı SMS ya da e-postayla göndermez; gönderen her şeyi varsayılan olarak kimlik avı say.
Kullanmayı sevdiği birkaç cümle
Bunları öğretici örnekler olarak kaydet ki benzer bir şey geldiğinde ilk düşüncen "işte yine başladı" olsun. Neredeyse hepsi aynı ritmi korur: bir acil durum üret — "hesabında bir sorun var" — sonra onu hemen şimdi halletmeye zorla.
Kimlik avı SMS'leri / e-postaları tipik olarak böyle görünür
- "Hesabında yeni bir konumdan olağandışı bir giriş tespit ettik. Güvenliğin için bağlantıya tıklayıp kimliğini hemen doğrula."
- "KYC doğrulaman dolmak üzere. Lütfen 24 saat içinde yeniden doğrula yoksa hesabın dondurulacak."
- "İşleme alınan bir para çekme talebin var. Bu sen değilsen, hemen iptal etmek için buraya dokun."
- "Sistem yükseltmesi: hesabının yeniden etkinleştirilmesi gerekiyor. Erişimi geri kazanmak için aşağıdaki bağlantıdan doğrulamayı tamamla."
Ortak çizgiyi görüyor musun? Hepsi hesabında bir sorun olduğunu söyler, hepsi sana bir bağlantı uzatır, hepsi seni hemen harekete geçmeye iter. "Bu sen değilsen iptal etmek için dokun" olanı özellikle sinsidir: seni "mağdur" rolüne sokar ve "paranı korumak" için ne kadar çırpınırsan, tuzağa o kadar uysalca yürürsün.
Gerçekte peşinde olduğu şey
SMS ya da e-postanın kendisi para çalmaz. O sadece bir "kılavuzdur", seni anahtarları teslim ettiğin sonraki adıma yönlendirir. İki yaygın varış noktası:
Birincisi, seni bir klon sahte siteye yönlendirir. Bağlantının açtığı sayfa gerçek borsayla birebir aynı görünür; kullanıcı adınla şifreni yazarsın ve o bilgi doğrudan dolandırıcının arka ucuna akar. Sonra sayfa "Doğrulamayı tamamlamak için SMS / kimlik doğrulayıcı kodunu gir" der, sen doldurursun ve kod gerçek zamanlı olarak iletilir. Dolandırıcı bütün seti kullanıp gerçek siteye girer ve çeker. Kimlik avı SMS'i sadece seni sahte sitenin kapısına götüren eldir — sahte sitenin gerisini nasıl yaptığı için bkz. klon kimlik avı siteleri ve sahte borsalar.
İkincisi, seni "destekle iletişime geçmeye" kandırır. Bazı e-postalar bir giriş bağlantısı vermez; "bir sorunun varsa buraya tıkla" diyerek bir "destek telefonu / destek Telegram'ı" bırakır. Ulaştığın an sahte destekle konuşuyorsundur, o da seni adım adım bir transfere ya da bir kodu teslim etmeye yürütür. O ipin nasıl bittiği için bkz. sahte destek ve "hesap çözme" dolandırıcılıkları.
Nasıl ayırt edilir: dört ipucu
Ne kadar iyi yapılmış olursa olsun, sakinleşip bunları işletirsen ipuçlarını tamamen gizlemek zordur:
| İpucu | Genellikle nasıl görünür | Nasıl okunur |
|---|---|---|
| Gönderen taklit edilebilir | Numara / e-posta resmi görünür; taklit bir SMS resmi konuşmaya bile kendini katabilir | Göndereni kim gösterirse göstersin, bunu asla kanıt sayma |
| Bağlantının alan adı yanlış | Resmi siteyi gösterir ama aslında benzer ya da fazladan kelimeli sahte bir alan adına atlar | Gösterilen metin ≠ gerçek adres; sadece tıklama, kafanı yorman gerekmez |
| Üretilmiş aciliyet ve korku | "24 saat içinde", "süre dolarsa hesap dondurulur", "hemen", "sen değilsen iptal et" | Seni ne kadar sıkıştırırsa o kadar durmalısın — aciliyetin kendisi en büyük alarmdır |
| Genel hitap | "Sayın kullanıcı", "Değerli müşteri", asla senin belirli kimliğin değil | Toplu kimlik avı genelde kim olduğunu bilmez, yalnızca genel bir hitapla blöf yapabilir |
Not: yukarıdakiler, onları tanımanı öğretmek için yaygın tekniklerin bir özetidir; belirli bir platformu hedeflemez. Bir alan adının resmi olup olmadığını kontrol etmek için resmi alan adı denetleyicimizi kullan.
Onu kökünden engelleyen tek kesin kural
O dört ipucunu tek tek ezberleyip değerlendirmek açıkçası biraz yorucu ve dolandırıcılar ayrıntıları sürekli cilalıyor. İyi haber, uzman bir göz olmana gerek olmaması — tek bir kuralı tut, bu dolandırıcılığın "yönlendirmesi" boşa çıkar:
Bir SMS ya da e-postadaki hiçbir bağlantıya tıklama
Göndereni kim gösterirse göstersin ya da kulağa ne kadar acil gelirse gelsin, mesajdaki bağlantıya tıklama. Hesabın için gerçekten endişeliysen, resmi alan adını kendin yazıp siteye gir ya da daha önce kurduğun resmi uygulamayı açıp kayıtlı yer imini kullan ve içeride gerçek bir bildirim olup olmadığına bak. Temiz bir kapıdan gir, gerçeği gör; dolandırıcının bağlantısı ne kadar iyi görünürse görünsün sana dokunamaz.
Bu kuralın güzelliği, ortamı umursamamasıdır: ifade nasıl değişirse değişsin, alan adı ne kadar akıllıca gizlenirse gizlensin ya da ne kadar aciliyet kurulursa kurulsun, "mesajlardaki bağlantılara asla tıklama — kontrol etmek için kendim girerim"e sadık kaldığın sürece seni baştan sahte siteye yönlendiremez. Giriş yolunu sabitle (yer imi + resmi uygulama), her seferinde dolandırıcıdan akıllı çıkmana gerek kalmaz.
- Borsanın resmi alan adını ilk kez doğruladıktan sonra, onu yer imi olarak kaydet, sonrasında yalnızca yer iminden ya da resmi uygulamadan gir.
- "Hesap anormalliği / KYC doluyor / bekleyen para çekimi" mesajı geldiğinde, bağlantıya tıklama; doğrulamak için kendin gir.
- Cüzdan tohum cümleni ya da özel anahtarını girmeni isteyen her sayfa düpedüz dolandırıcılıktır — bir borsa bunları asla istemez.
- Kimlik doğrulayıcı 2FA ve bir para çekme adresi beyaz listesi aç ki şifren sızsa bile bir savunma hattı daha olsun.
Gerçek platformlar neden seninle bu şekilde iletişim kurmaz
Birçok kişi tereddüt eder: "Ya bu gerçekten resmi taraftansa ve tıklamayarak bir şeyi kaçırırsam?" Bu endişeyi tamamen bir kenara bırakabilirsin — gerçek borsalar temelde, seni tıklayıp giriş yapmaya, kimliğini doğrulamaya ya da acil bir anormalliği halletmeye iten bir bağlantıyı SMS ya da e-postayla göndermez.
Nedeni basit: kimlik avının her yerde olduğunu biliyorlar ve kullanıcılara proaktif olarak tıklanabilir giriş / doğrulama bağlantıları göndermek, onları yalnızca "bir bağlantı gör, tıkla" gibi kötü bir alışkanlığa eğitir ki bu da kimlik taklidini kolaylaştırır. Bu yüzden senin için gerçekten halledilecek bir şey olduğunda, gerçek platformun yaklaşımı, resmi siteye ya da uygulamaya kendin gitmeni ve platform içi bildirimlerde görüp harekete geçmeni sağlamaktır. Başka deyişle, bir bağlantı taşıyan ve seni tıklayıp giriş yapmaya ya da doğrulamaya iten her mesajı kimlik avı say, neredeyse hiç gerçek olanı yanlış işaretlemezsin — çünkü gerçek olanlar zaten öyle görünmez.
Tek cümlelik kural
Bu tür bir mesajı değerlendirmek için göndereni kim gösterdiğini ve ne kadar acil olduğunu yok say; tek şey sor: beni bir bağlantıya tıklatıp sonra giriş yapmaya ya da bir kod vermeye mi yönlendiriyor? Evetse, kimlik avı say, mesajı kapat ve doğrulamak için kendin gir.
Zaten tıkladım ve bir şey girdim — şimdi şunu yap
Bağlantıya zaten tıkladıysan ve kullanıcı adını, şifreni ya da bir kodu bile girdiysen, kendini dövme — hız her şeyden önemli. Sırayla hareket et:
Gerçek siteye kendin git ve şifreleri değiştir
Yer iminden ya da resmi alan adını yazarak gerçek hesabına gir (alan adının doğru olduğunu doğrula) ve giriş ile fon şifrelerini hemen değiştir.
Bilinmeyen cihazları çıkar, API anahtarlarını iptal et
Güvenlik ayarlarında oturum açmış cihazları ve oturumları incele, tanımadığın her cihazı çıkar ve şüpheli API anahtarlarını iptal et.
Para çekme beyaz listesini ve 2FA'yı kontrol et
Para çekme beyaz listesine yabancı bir adresin eklenip eklenmediğine ya da 2FA'nın yeniden bağlanıp bağlanmadığına bak. Öyleyse hemen iptal et ve sıfırla.
Varlıkları taşı, platforma bildir
Gerekirse varlıkları tamamen kontrol ettiğin bir adrese mümkün olan en kısa sürede taşı ve anormalliği platform içi resmi destekten bildir (SMS'teki "destek"ten değil).
Delilleri sakla, ihbar etmeyi düşün
SMS / e-postayı, bağlantının alan adını ve eylem geçmişini ekran görüntüsüyle al. Türkiye'de Cumhuriyet Başsavcılığına suç duyurusu yapabilir ve CİMER üzerinden bildirebilirsin; istenmeyen kısa mesajları BTK kanallarından operatörüne raporlayabilirsin. Kaybı durdurma, delil ve ihbar adımlarının tamamı için bkz. dolandırıldıktan sonra ne yapmalı.
Aynı yolda başka bir kapı: sahte uygulama
Bazı kimlik avı SMS'leri bir web sayfasına giriş yapmanı istemez; "uygulamanın yeni sürümünü indir" der ve kurulan şey klon bir benzeridir. Nasıl ayırt edileceği için bkz. klon uygulamalar (sahte OKX / sahte Binance).
Sık sorulanlar
SMS borsanın resmi numarasını gösteriyor, güvenebilir miyim?
Hayır. Bir SMS'in gönderen numarası ve bir e-postanın gönderen adresi taklit edilebilir; taklit bir SMS, kurumdan gelen önceki gerçek mesajlarınla aynı konuşmaya bile kendini düşürebilir, dikişsiz görünür. Eşleşen bir numara ya da gönderen hiçbir kanıt değildir. Onu ne yapmanı istediğine ve bağlantının nereye gittiğine göre değerlendir, göndereni kim gösterdiğine göre değil. Türkiye'de istenmeyen kısa mesajları BTK kanallarından operatörüne raporlayabilirsin.
Bağlantı resmi adrese benziyor, tıklamak güvenli değil mi?
Bir mesajda gösterilen metin ile bir bağlantının gerçekte gittiği adres tamamen farklı olabilir — ekranda resmi site yazar ama dokununca seni klon bir sahteye götürür. En güvenli hamle, bir mesajdaki hiçbir bağlantıya tıklamamaktır; hesabını kontrol etmek için resmi alan adını kendin yaz ya da daha önce kurduğun resmi uygulamayı açıp kayıtlı yer imini kullan. Asla bir mesajdaki bağlantıdan siteye girme.
Gerçek bir borsa giriş yapıp doğrulamam için SMS ya da e-postayla bağlantı gönderir mi?
Temelde hayır. Gerçek platformlar, seni tıklayıp giriş yapmaya, kimliğini doğrulamaya ya da acil bir anormalliği halletmeye iten bir bağlantıyı SMS ya da e-postayla göndermez. Gerçekten halledilecek bir şey varsa, resmi siteye ya da uygulamaya kendin gitmeni ve bildirimi platform içinde görmeni isterler. Bu yüzden seni tıklayıp giriş yapmaya ya da doğrulamaya iten, bağlantı içeren her mesajı, göndereni kim gösterirse göstersin varsayılan olarak kimlik avı say.
Bağlantıya zaten tıkladım ve kullanıcı adımla şifremi girdim — şimdi ne olacak?
Hızlı hareket et. Gerçek resmi siteye ya da uygulamaya kendin git ve giriş ile fon şifrelerini değiştir; güvenlik ayarlarında bilinmeyen her cihazı ve şüpheli API anahtarlarını iptal et; para çekme beyaz listesinin ve 2FA'nın değişip değişmediğini kontrol et, öyleyse sıfırla; gerekirse varlıkları tamamen kontrol ettiğin bir adrese taşı ve platform içi resmi destekten bildir. Bir SMS ya da kimlik doğrulayıcı kodu da girdiysen daha da hızlı davran — dolandırıcılar genelde bir kod aldıktan hemen sonra giriş yapıp çekmeyi dener. Türkiye'de Cumhuriyet Başsavcılığına suç duyurusu yap, CİMER üzerinden ihbar et.
Borsana hangi kapıdan gireceğine tek bir SMS karar vermesin
Kimlik avı SMS'leri ve e-postaları neredeyse tamamen, birinin panik içinde kendisine uzatılan bağlantıya dokunmasıyla tutar. En az stresli savunma, baştan büyük, düzenlenmiş bir borsayı resmi kayıt yoluyla kullanmak, resmi alan adını yer imi olarak kaydetmek, resmi uygulamayı kurmak ve o andan sonra — hangi mesaj gelirse gelsin — yalnızca kendi temiz kapından girmektir. OKX, ana akım borsalardan biridir; aşağıdaki resmi yoldan ulaşabilirsin, resmi alan adı okx.com'dur. Bu site yalnızca spot işlemleri konu alır; kaldıraçlı / vadeli işlem önermez.
Sırada ne okumalı
- Klon kimlik avı siteleri ve sahte borsalar — bir kimlik avı bağlantısının ucunda genelde gerçeğiyle birebir aynı sahte bir site vardır.
- Sahte destek ve "hesap çözme" dolandırıcılıkları — bazı kimlik avı e-postaları bağlantıyı atlar ve seni "destekle iletişime geçmeye" yönlendirir, orada bir dolandırıcı devralır.
- Klon uygulamalar (sahte OKX / sahte Binance) — "yeni uygulamayı indir" SMS'i genelde klon bir benzerini kurar.