Fiyatlar yükleniyor…

Kripto Pano Kötü Amaçlı Yazılımı: Adres Değişiklikleri Cüzdanları Nasıl Boşaltıyor?

Bir pano ele geçiren yazılım, kopyalanan cüzdan adresini milisaniyeler içinde sessizce değiştirir. BTC veya ETH kopyalayıp dolandırıcıya gönderen kullanıcılar milyonlarca dolar kaybetti. İşte nasıl çalıştığı ve gerçekten işe yarayan tek savunma yöntemi.

Kripto Pano Kötü Amaçlı Yazılımı: Adres Değişiklikleri Cüzdanları Nasıl Boşaltıyor?

Pano ele geçirme kötü amaçlı yazılımı gerçekte ne yapar

Saldırı, hemen hemen her kripto kullanıcısının düşünmeden yaptığı bir anla başlar: bir borsada bir yatırma adresi görürsünüz, kopyalarsınız, cüzdanınızı açarsınız, gönderim alanına yapıştırırsınız. Ekranda adres doğru görünür. Cüzdan yazılımınız geçerli bir sağlama toplamı doğrular. Gönder'e tıklarsınız. İşlem çıkar, bir blokzincire ulaşır ve sonsuza dek gider. Ancak varış adresi, sizin kopyaladığınız adres hiç değildi. Kötü amaçlı yazılımın, kopyalamanızla yapıştırmanız arasındaki saniyenin kesri içinde yerleştirdiği bir saldırgan adresiydi.

Bu tür kötü amaçlı yazılımlara yaygın olarak pano ele geçirici veya adres değiştirme kötü amaçlı yazılımı denir. Bulaşmış bir bilgisayarın arka planında sessizce çalışır; genellikle korsan yazılım indirmeleri, sahte tarayıcı güncellemeleri, oltalama ekleri veya truva atına dönüştürülmüş oyun eklentileri yoluyla dağıtılan daha geniş bir hırsız yazılım paketinin parçası olarak yayılır. Kötü amaçlı kodun çarpıcı bir şey yapmasına gerek yoktur. Sadece sistem panosunu kripto adreslerinin desenlerine uyan dizgeler için izler ve biri göründüğünde kopyaladığınız metni saldırganın kontrol ettiği bir listeden farklı bir dizgeyle üzerine yazar.

Değiştirilen adres, bir bakışta meşru görünecek şekilde seçilir. Kripto adresleri uzun, base58 veya onaltılık dizgelerdir, sıklıkla 26 ile 42 karakter arasında. Çoğu kullanıcı ilk dört ve son dört karaktere bakar ve geri kalanının doğru olduğunu varsayar. Pano kötü amaçlı yazılımı, meşru adresle aynı ilk ve son karakterleri paylaşan ancak ortası farklı olan tıpatıp aynı görünen adresler (vanity-match veya prefix-suffix-match adresleri olarak da bilinir) üreterek bu alışkanlığı istismar eder. BTC ve birçok BTC türevi zincir için bu, düşünüldüğünden daha zordur; ancak ETH, Ethereum üzerindeki USDT ve adreslerin 40 karakterlik onaltılık dizgeler olduğu çoğu ERC-20 token için saldırgan, kopyaladığınız adresin ön ve son ekini eşleştirene kadar özel bir anahtardan binlerce aday adres üretebilir. Görünen dizge özdeş görünür. Gerçek varış adresi farklıdır.

Gerçek riskler: hız, geri dönüşü olmama ve görünmez başarısızlık

İlk olarak anlaşılması gereken, değişikliğin ne kadar hızlı gerçekleştiğidir. Ctrl+C'ye bastığınızda, işletim sistemi seçiminizi kısaca panoda tutar ve kötü amaçlı yazılım cüzdanınız onu okumadan önce bu arabelleğe müdahale eder. Değişiklik on milisaniyeler içinde tamamlanabilir. Animasyon, uyarı, iletişim kutusu yoktur. Cüzdanınız onu sorguladığında pano yalnızca farklı bir dizge içerir. Kullanıcı açısından kopyalama ve yapıştırma tamamen normal görünür.

İkinci risk, blokzincir işlemlerinin geri dönüşü olmamasıdır. Bir BTC, ETH veya USDT transferi bir kez imzalanıp yayınlandığında, hiçbir müşteri destek hattı onu geri alamaz. Ters ibraz mekanizması yoktur. Alıcı adres bir hırsıza aitse, işlem onaylandığı anda fonlar fiilen gitmiş olur. Bazı mağdurlar hırsızın fonları daha sonra gönderdiği borsayla iletişime geçti ve az sayıda vakada hesaplar donduruldu; ancak kurtarma istisnadır, kural değildir.

Üçüncü risk, başarısızlığın görünmez olmasıdır. Cüzdanınız, yapıştırdığınız adresin kopyaladığınız adresle eşleşmediğini söylemez, çünkü başlangıçta neyi kopyaladığınızı bilmenin bir yolu yoktur. Yazılım yalnızca panodaki son dizgeyi görür, sağlama toplamını doğrular ve onu meşru bir varış adresi olarak kabul eder. Kötü amaçlı yazılım uyarısı, kırmızı bayrak, şüpheli etkinlik bildirimi yoktur. İşlem, beklediğiniz varış noktasına fonlar ulaşmayana kadar, yani dakikalar, saatler ya da günler sonrasına kadar tamamen normal görünür.

Bu teknikten kaynaklanan kayıplar BTC, ETH ve stabil kripto transferlerinde milyonlarca doları bulmuştur. Bireysel mağdurlar beş haneli ve ara sıra altı haneli kayıplar bildirmiştir. Dolandırıcılık takip servisleri ve zincir analizi firmaları, sıklıkla ele geçirilmiş bir cüzdanın kullanılabilir tüm bakiyesi gibi öngörülebilir miktarlarda uyuşmayan yatırımlar alan adres kümelerini belgelemiştir.

Zararlı yazılım benzer görünümlü bir adresi aslında nasıl değiştiriyor

Değiştirme, hile'nin özüdür ve iki katmandan oluşur. Birinci katman tespittir. Zararlı yazılım, pano'yu (clipboard) izler ve bir kripto adresinin yapısal kalıbına uyan dizeleri arar. BTC mainnet adresleri 1, 3 veya bc1 ile başlar. USDT dahil ETH ve çoğu ERC-20 token'ı 0x ile başlar ve 40 adet onaltılık (hex) karakter içerir. Solana adresleri, uzunluğu yaklaşık 32 ila 44 karakter olan base58 dizeleridir. Zararlı yazılım, bu kalıplardan birine uyan bir dizge gördüğünde, bir kripto adresi bulduğunu anlar ve değiştirme işlemini tetikler.

İkinci katman değiştirmedir. Saldırgan, kendi adreslerinden oluşan bir liste tutar. Bu liste genellikle, sonuçta oluşan adres kullanıcının kopyaladığı adresin ilk N ve son M karakteriyle eşleşene kadar anahtarları kaba kuvvetle (brute-force) deneyen bir komut dosyası tarafından üretilir. Adreslerin kısa onaltılık dizeler olduğu ETH için, orijinalin ilk altı ve son dört karakterini paylaşan bir vanity-match adresi üretmek tek bir GPU üzerinde dakikalar içinde mümkündür. BTC legacy adreslerinde ise tam vanity-match adresleri çıkarmak maliyetlidir, bu yüzden saldırganlar çoğu zaman kısmi bir eşleşmeyle yetinir veya kullanıcının dikkatsizliğine güvenir. Her iki durumda da zararlı yazılım, önceden hesaplanmış listesinden en yakın girdiyi seçer ve panoyu sessizce üzerine yazar.

Bazı varyantlar daha da ileri gider. Birkaç hırsız (stealer) ailesi, orijinal adresin sağlama toplamını (checksum) karşılaştırır ve geçerli bir benzeri yoksa, panoyu tamamen ilgisiz bir saldırgan adresiyle değiştirir; çünkü kullanıcının farkı fark etmeyeceğine bahse girer. Diğer varyantlar küçük bir gecikme ekler, böylece yapıştırma işlemi kullanıcının beklediği andan biraz sonra cüzdanda görünür ve normal sistem gecikmesini taklit eder. Bunların hiçbiri, pano içeriğini bayt düzeyinde incelemeden görünmez.

Saldırının bulunduğu yer: işletim sistemi mi tarayıcı eklentisi mi

Pano zararlı yazılımı iki katmanda bulunabilir ve hangi katmanda olduğu, hangi savunmaya ihtiyacınız olduğunu belirler. En yaygın olan işletim sistemi düzeyinde zararlı yazılımdır: bilgisayarınızda sistem panosuna tam erişimi olan bir süreç. Hangi cüzdan yazılımını kullandığınızı, hangi tarayıcıyı açtığınızı veya hangi borsada oturum açtığınızı umursamaz. Panoyu okuyan her program değiştirilmiş dizeyi alır. Bu, neredeyse tüm tarayıcı tabanlı savunmaları atlattığı için en tehlikeli biçimdir.

İkinci katman tarayıcı eklentisi düzeyinde zararlı yazılımdır. Chrome, Firefox veya Edge web mağazasından yüklenmiş kötü amaçlı bir eklenti, etkin sekmenin panosunu okuyabilir, web sayfalarındaki kopyalama ve yapıştırma olaylarını yakalayabilir ve web tabanlı cüzdanların veya borsaların gördüğü içeriği yeniden yazabilir. Tarayıcı düzeyindeki saldırılar genellikle daha dar kapsamlıdır çünkü eklenti yalnızca tarayıcının içindeki pano etkinliğini görür, ancak dağıtılmaları daha kolaydır; bazen mağaza incelemesinden geçen ve ardından kendini zararlı kodla güncelleyerek sahte üretkenlik araçları veya sahte cüzdan yardımcıları yoluyla yayılırlar.

İki katmana karşı savunma, farklı araçlar gerektirir. Tarayıcı düzeyindeki saldırılar bazen yüklü eklentilerinizi gözden geçirerek, bilinen cüzdan eklentilerine bağlı kalarak ve geniş pano izinleri isteyen eklentilerden kaçınarak yakalanabilir. İşletim sistemi düzeyindeki zararlı yazılımlar daha zordur. Korsan yazılımla paketlenmiş bir keylogger'dan, oltalama e-postası ekinde gizlenmiş bir truva atından veya bir başlangıç bilgi hırsızı (infostealer) tarafından teslim edilen ikinci aşama bir payload'dan gelebilir. Malwarebytes, Windows Defender veya saygın antivirüs paketleri gibi standart uç nokta tarayıcıları birçok bilinen hırsız ailesini tespit edebilir, ancak imza tabanlı tespit yeni varyantların gerisinde kalır ve deneyimli saldırganlar payload'larını tarayıcılar güncellenmeden daha hızlı şekilde döndürür.

Bu yüzden antivirüs birincil savunma değildir. Bir tarayıcı, bir saldırının maliyetini artırabilir ve özensiz kampanyaları yakalayabilir, ancak tespiti garanti edemez. Birincil savunma prosedüreldir: panoya asla güvenmeyin.

Adres defteri yaklaşımının neden kırılgan olduğu

Pano zararlı yazılımına karşı yaygın bir tepki, adresleri kopyalamaktan tamamen kaçınmak ve bunun yerine güvenilir adresleri cüzdanın adres defterine kaydetmektir. Yüzeysel olarak bakıldığında bu sorunu çözüyor gibi görünür. Kopyalayıp yapıştırmazsanız, pano değiştirme gerçekleşemez. Pratikte adres defterinin kendi zayıflıkları vardır.

Birinci zayıflık, zararlı yazılımın bazen kullanıcı adres defterini doldurduktan sonra içeriğini yeniden yazabilmesidir. Bazı hırsız aileleri tarayıcı tabanlı cüzdanları hedefler ve meşru kişiler gibi görünen yeni girdiler enjekte eder. Kullanıcı, kaydedilmiş bir adresi açılır menüden seçtiğini sanır, ancak açılır menü artık gerçek adresin yanında saldırgan kontrolünde bir adres de içerir.

İkinci zayıflık otomatik doldurma davranışıdır. Birçok cüzdan ve borsa, adres defterinden bir kişiyi seçtikten sonra hedef alanını otomatik olarak doldurur. Zararlı yazılım kişi girdisini değiştirmediyse ancak otomatik doldurma rutinine müdahale ettiyse, seçim ile işleme arasında adresi değiştirebilir. Kullanıcı kendi kişi adını görür, ancak alttaki dize başlangıçta kaydettiği değildir.

Üçüncü zayıflık insan hatasıdır. Adres defteri girdileri yanlış etiketlenmiş olabilir. Bir kullanıcı bir borsanın yatırma adresini kaydedip sonra çekme adresine gönderebilir ya da kişisel bir cüzdanı yanlış kişi adı altına kaydedebilir. Adres defterleri kopyala-yapıştır hatalarını azaltır, ancak hedef hatalarını ortadan kaldırmaz ve adresin daha önceki bir adımda yeniden yazıldığını kullanıcıya söyleyemez.

Adres defteri bir kolaylık katmanı olarak kullanılmaya değerdir, ancak bir güvenlik sınırı değildir. Günlük hataların yüzeyini azaltır. Kararlı bir saldırganı durdurmaz.

Gerçekten işe yarayan savunma: adresi donanım cüzdanı ekranında doğrulayın

Pano zararlı yazılımına karşı ayakta kalan tek savunma, hedef adresin tamamını bir donanım cüzdanı üzerinde doğrulamaktır; bu, özel anahtarlarınızı saklayan ve işlemleri dahili olarak imzalayan küçük, özel bir cihazdır. Ledger, Trezor ve benzeri ürünler, işlemin gerçekte imzalandığı adresi gösteren küçük, güvenilir bir ekrana sahiptir. Adres donanım cüzdanında ve potansiyel olarak ele geçirilmiş bilgisayarda değil de orada görüntülendiğinden, zararlı yazılım aynı zamanda cihazın kendisini de ele geçirmeden adresi yeniden yazamaz; bu çok daha zor bir saldırıdır.

Alışkanlık basittir, ilk başta sıkıcı hissettirse bile. Cüzdan yazılımınıza bir adresi yapıştırdıktan veya seçtikten sonra, gönder düğmesine tıklamadan önce işlemi donanım cüzdanında onaylar ve hedef adresinin her karakterini cihazın ekranında okursunuz. Cihazdaki adres, göndermek istediğiniz adresle eşleşmiyorsa işlemi reddedersiniz. Bu, pano değiştirmelerini, adres defteri kurcalamalarını ve son mildeki diğer tüm adres yeniden yazma biçimlerini yakalar; çünkü zararlı yazılımın orada farklı bir adres gösterebilmesi için donanım cüzdanını da ele geçirmiş olması gerekirdi.

Belgelenmiş pano ele geçirme vakalarının büyük çoğunluğunda, bu tek alışkanlık fonları kaybetmek ile kaybetmemek arasındaki farktır. Deneyimli kripto kullanıcılarının her işlem için bilgisayar ekranını değil donanım cüzdanı ekranını kaynak doğrusu olarak kabul etmelerinin nedeni de budur.

Henüz bir donanım cüzdanına sahip olmayan kullanıcılar için pratik azaltma, önce küçük bir test işlemi göndermektir. Hedefe birkaç dolarlık BTC, ETH veya USDT gönderin, gelmesini bekleyin, sonra daha büyük tutarı gönderin. Bu, zararlı yazılıma karşı bir garanti değildir, ancak fonların büyük kısmı ayrılmadan önce bir değiştirmeyi ortaya çıkarır. Bedeli zaman ve küçük bir ağ ücretidir. Faydası, ele geçirilmiş bir panoyu size her şeyinizi kaybettirmeden önce yakalama yeteneğidir.

Kötü amaçlı yazılım tarayıcılarının rolü ve neden yeterli olmadıkları

Uç nokta güvenlik araçlarının da bir rolü vardır, ama başrolde değildirler. Malwarebytes, Microsoft Defender ve benzeri ürünler gibi tarayıcılar, bilinen hırsız yazılım aileleri için imzaları günceller, enfekte olmuş dosyaları karantinaya alabilir, tarayıcı eklentilerini tarayabilir ve şüpheli davranışları işaretleyebilir. Yazılımı güvenilmeyen kaynaklardan kuran, bilinmeyen göndericilerden gelen e-posta eklerini açan veya kırılmış uygulamalar indiren kullanıcılar için saygın bir tarayıcı çalıştırmak, hiç çalıştırmamaktan çok daha iyidir.

Ancak imza tabanlı tespit her zaman bir adım geridedir. Hırsız yazılımların yeni varyantları her gün ortaya çıkar; bunlar sıklıkla farklı kurbanlara parmak izi almaktan kaçınmak için farklı yükler yükleyen, kurulum başına ödeme yapan ağlar aracılığıyla dağıtılır. Dün güncel olan bir tarayıcı, bugünün derlemesini tanımayabilir. Davranış tabanlı tespit kısmen yardımcı olur, ancak kullanıcıları devre dışı bırakmaya iten yanlış pozitifler üretir.

Gerçekçi çerçeve şudur: tarayıcılar saldırının maliyetini artırır ve dikkatsizce yapılan kampanyaları yakalar. Faydalı bir ikinci katmandırlar. Fonlarınızı riske atacağınız katman onlar değildir. Fonlarınızı, donanım cüzdanı doğrulama alışkanlığına güvenin. Her işlemde tekrarlanan bu tek eylem, pano kötü amaçlı yazılımının açmaya çalıştığı kapıyı kapatır.

Pano kötü amaçlı yazılım haberlerini akıllıca takip etmenin yolu

Pano kötü amaçlı yazılımları sessizce evrilir; yeni hırsız yazılım aileleri ve yeni dağıtım kanalları, herhangi bir tek yazının belgeleyebileceğinden daha hızlı ortaya çıkar. Hangi kampanyaların aktif olduğunu, hangi cüzdan eklentilerinin işaretlendiğini ve hangi işletim sistemi düzeyindeki truva atlarının dolaşımda olduğunu takip etmek, sıradan bir aramadan daha fazla sinyal gerektirir. Zippfeed, duygu puanlaması ve önem derecelendirmesi ile kripto güvenlik haberlerini ön plana çıkarır; böylece ortaya çıkan pano ele geçirme kampanyalarını erken fark edebilir ve bir sonraki dalga makinenize ulaşmadan savunmanızı ayarlayabilirsiniz.

Sıkça sorulan sorular

Bir kripto cüzdan adresini kopyalayıp yapıştırmak güvenli mi?
Güncel güvenlik yazılımına sahip temiz bir bilgisayarda kopyala yapıştır genelde sorun değildir, ancak pano kötü amaçlı yazılımları adresleri sessizce değiştirebildiğinden bu alışkanlık gerçek bir risk taşır. En güvenli alışkanlık, adres cüzdanınıza nasıl gelmiş olursa olsun, her işlemi imzalamadan önce tam hedef adresi donanım cüzdanı ekranında doğrulamaktır. Panoyu güvenilmez, donanım cüzdanı ekranını ise tek doğru kaynağınız olarak kabul edin.
Kripto pano kötü amaçlı yazılımı nasıl çalışır?
Kötü amaçlı yazılım, enfekte olmuş bir bilgisayarın veya tarayıcının arka planında çalışır ve sistem panosunu kripto adresine benzeyen dizeler için izler. Böyle bir dizi tespit ettiğinde, kopyaladığınız adresi saldırgana ait, çoğunlukla orijinaliyle aynı ilk ve son karakterleri paylaşan benzer bir adresle değiştirir. Değişiklik milisaniyeler içinde gerçekleşir, böylece adresi cüzdanınıza yapıştırdığınızda doğru görünen bir dizi görürsünüz, ancak BTC, ETH veya USDT'niz saldırgana gider.
Pano kötü amaçlı yazılımını engellemek için antivirüs yazılımına güvenmeli miyim?
Antivirüs yazılımı işe yarar ve Malwarebytes veya Microsoft Defender gibi saygın bir tarayıcı kullanmalısınız, ancak tek savunma hattınız o olmamalıdır. İmza tabanlı algılama yeni hırsız varyantlarının gerisinde kalır ve deneyimli bir saldırgan, tarayıcılar güncellenmeden çok daha hızlı şekilde zararlı yükleri değiştirebilir. Tarayıcıyı işe yarar ikinci bir katman olarak görün ve donanım cüzdanıyla doğrulama alışkanlığını asıl savunmanız yapın.
Adresleri bir adres defterine kaydetmek beni pano kötü amaçlı yazılımından korur mu?
Adres defteri, kopyalayıp yapıştırma ihtiyacını azaltır ve bu da sıradan pano değişikliklerine karşı biraz yardımcı olur, ancak güvenilir bir savunma değildir. Kötü amaçlı yazılım, siz kaydettikten sonra adres defteri girdilerini değiştirebilir, otomatik doldurma rutinlerine bağlanarak adresleri görüntüleme anında değiştirebilir ve sizi yanlış koşullarda kayıtlı bir kişiyi seçmekten alıkoyamaz. Adres defterini kolaylık için kullanın, ancak imzalamadan önce son hedefi mutlaka donanım cüzdanı ekranında doğrulayın.
İlgili tokenler
$BTC $ETH $USDT