Biz güvenli sandığımız yerlerde bile tetikte olmalıyız. Kripto para dünyasında Ledger gibi köklü bir donanım cüzdan üreticisinin bile Discord sunucusu saldırıya uğrayabiliyorsa hiçbir platform mutlak güven sunmuyor demektir. 11 Mayıs’ta yaşanan olay bize dijital ortamda saniyelik gecikmelerin bile nelere mal olabileceğini bir kez daha hatırlattı.
Sahte Link Tuzağı! Seed Phrase Peşindeydiler
O gün Ledger’ın Discord kanalındaki yetkili bir moderatör hesabı ele geçirildi. Saldırganlar çoktan harekete geçmişti. Hesap üzerinden bir bot çalıştırıldı ve kullanıcıların gözüne güvenilirmiş gibi görünen bağlantılar sokuldu. Güya Ledger sözde bir güvenlik açığı için kullanıcıdan kurtarma ifadesini istiyordu. Kulağa saçma gelse de paniğe kapılan ya da dikkatli olmayan biri bu tuzağa kolayca düşebilirdi.
Ledger ekibinden Quintin Boatwright’ın açıklamasına göre hızlıca önlem alındı. Ele geçirilen hesap kapatıldı. Bot silindi. Sahte site yetkililere bildirildi ve tüm yetki ayarları elden geçirildi. Ancak bizim dikkatimizi çeken başka bir detay var. Topluluk üyelerinden bazıları olayı bildirmeye çalışırken susturulduklarını ya da sunucudan atıldıklarını iddia etti. Bu durum Ledger’ın kriz anında iletişim kanalını nasıl yönettiği konusunda soru işaretleri bırakıyor.
Eski Yaralar Kabuk Bağlamıyor
Burada durmuyor mesele. Fiziksel saldırılar da devam ediyor. Nisan ayında bazı kullanıcılara Ledger logolu mektuplar gönderildi. Gerçek gibi görünen bu belgelerde QR kod taratmaları ve kurtarma ifadeleri isteniyordu. Yani tehdit artık evimize kadar da geliyor.
Peki neden halabu kadar hassasız? Cevap 2020’deki büyük veri sızıntısında yatıyor olabilir. O yıl tam 270.000 Ledger kullanıcısının kişisel bilgileri internete sızdırılmıştı. Adreslerden telefon numaralarına kadar her şey dolaşıma girmişti. Şimdi yapılan saldırılar o sızıntının bir uzantısı mı? Bizce olası.
2021’de ise başka bir kabus yaşanmıştı. Kullanıcılara orijinal görünümlü ama zararlı yazılım yüklü Ledger cüzdanları gönderilmişti. Cihazlar gerçek gibiydi ama içleri kötü niyetli yazılımlarla doluydu.
Ne Yapmalıyız?
Kripto para dünyasında biz kullanıcılar olarak kendi güvenliğimizi ancak dikkat ve teyakkuzla sağlayabiliriz. Özellikle 12 veya 24 kelimelik ifadeleri kimselerle paylaşmamalıyız. Buna ögre ne Ledger’la, ne destek ekibiyle, ne de “acil güvenlik güncellemesi” bahanesiyle gelen bağlantılarla. Gerçek bir donanım cüzdanı yalnızca üreticinin resmi kanalından alınır. Gelen fiziksel postalar asla dikkate alınmaz.
Bu olay bize bir şeyi net olarak gösterdi. Güvenliğin tek sahibi Ledger değil, biziz. Gözümüzü dört açmazsak bir gün bizim de kapımıza “resmi görünen” bir mektup gelebilir. Yeni güvenlik çağında yalnız değiliz elbette. Ancak dikkat etmezsek yalnız kalırız.