Kripto para borsası Binance’in kurucusu ve eski CEO’su Changpeng Zhao (CZ), takipçilerini bir kez daha kimlik avı saldırılarına karşı uyardı. X’te paylaştığı mesajda şifrelerin hiçbir koşulda müşteri temsilcileriyle paylaşılmaması gerektiğini vurguladı. Ayrıca e-posta ile gelen bağlantılara tıklamak yerine adres çubuğuna sitenin URL’sini yazarak giriş yapılmasını tavsiye etti. Tek bir sızıntının bile tüm portföyü tehlikeye atabileceğini hatırlatan CZ, benzersiz ve güçlü parolalar ile donanım tabanlı iki faktörlü kimlik doğrulamayı “olmazsa olmaz” olarak niteledi.
Çevrim İçi Kimlik Avına Karşı İlk Savunma: Parola Güvenliği
Parola güvenliği kimlik avı saldırılarının en zayıf halkası olmaya devam ediyor. CZ’nin altını çizdiği en temel kural “Gerçek destek temsilcileri şifre talep etmez” şeklinde, oldukça basit.
Bilindiği gibi günümüzde dolandırıcılar “hesabınız kilitlendi” ya da “ek doğrulama gerekiyor” gibi paniğe kapı açan senaryolarla kripto para yatırımcılarını hedef alarak kandırıyor. CZ bu türden tuzaklara düşülmemesi için URL’nin elle yazılması ya da güvenilir bir yer imi kullanımını öneriyor. Tarayıcıya yerleştirilen kötü niyetli eklentiler bile taklit alan adlarına yönlendirme yapabiliyor. Bu nedenle adres çubuğundaki URL’nin birden fazla kontrol etmek kimi zaman sahip olunan kripto paraları koruyan tek kalkan oluyor.
CZ, tek bir parolanın birden çok platformda kullanılmasının ise zincirin geri kalanını kırılgan hale getirdiğinin altını çizdi. Parola yöneticileri burada devreye girerek her site için uzun, rastgele ve benzersiz kombinasyonlarda parolalar oluşturuyor. Bu yazılımlar taklit alan adlarını fark ettiğinde şifreyi otomatik doldurmadığından ek bir alarm işlevi görüyor. Yöneticiler doğru kurulduğunda sızdırılmış bir veritabanından ele geçirilen karakter dizileri başka hesaplarda işe yaramıyor. Dolayısıyla zararlı sahte sitelerin potansiyel etkisi ciddi ölçüde azalıyor.
Donanım Tabanlı 2FA Doğrulama Yöntemi Kullanılmalı
Elbetteki güçlü parolalar tek başına tam koruma için yeterli değil. CZ, ek koruma katmanı olarak donanım tabanlı iki faktörlü kimlik doğrulama tercih edilmesini tavsiye etti. USB ya da NFC ile çalışan Yubikey benzeri anahtarlar giriş esnasında fiziksel onay gerektirdiği için kimlik avı kampanyalarının çoğunu boşa çıkarıyor. Hatta bazı modeller FIDO2 protokolü sayesinde oturum açma isteğinin geldiği siteyle cihaz arasında doğrudan kriptografik bağ kuruyor. Saldırgan gerçek alan adını klonlasa bile anahtar etki alanı uyuşmazlığını tespit ederek yetkilendirmeyi reddediyor.
Çevrim içi saldırı yüzeyinin genişlediği günümüzde SMS tabanlı kodlar giderek yetersiz kalıyor. SIM swap saldırıları ve kopyalanabilir QR kodlar mobil doğrulamanın risklerini ortaya koyuyor. Donanım token’ları ise cepte veya anahtarlıkta taşınarak kesintisiz koruma sunuyor. Üstelik çoğu modern borsa ve cüzdan uygulaması bu cihazları birkaç adımda tanıyarak kurulum sürecini dakikalara indiriyor.
CZ’nin son olarak yaptığı “Stay SAFU!” yani “Güvende Kalın” çağrısı parola hijyenini donanım temelli 2FA ile birleştirmeyi gerektiren kapsamlı bir güvenlik reçetesine dönüşüyor.
