Kripto Para Dolandırıcılığı Nedir?

Kripto para dolandırıcılığı, cüzdanınıza erişimi ele geçirmek ya da sizi sahte bir yatırıma para göndermeye ikna etmek için kurulan dijital tuzakların genel adıdır. İşin tehlikeli yanı, transferler genellikle geri döndürülemediği için bir kez gönderdiğiniz varlığı geri almak çoğu zaman zordur. En sık görülen senaryolarda kimlik avı (phishing) linkleriyle seed phrase veya özel anahtar istenir, sahte borsa uygulaması indirtirilir ya da airdrop vaadiyle sizden önce küçük bir doğrulama ödemesi talep edilir. En yaygın hata, destek ekibi gibi görünen bir hesaba aceleyle güvenmektir; iki faktörlü doğrulama açık olsa bile gizli anahtar paylaşıldığında oyun biter.

Kripto para dolandırıcılığı tanımı ve neden bu kadar yaygın?

Kriptoda işlemler neden geri alınamaz?

Kriptoda “geri alınamama” meselesi, çoğunlukla blokzincirin çalışma mantığından gelir. Banka havalesinde bir itiraz, iptal veya aracı kurum müdahalesi mümkünken, blokzincirde işlemi onaylayan merkezi bir otorite yoktur. İşlem ağa yayınlanır, doğrulanır ve bloklara yazılır. Bu kayıt, ağın kural ve mutabakat yapısı nedeniyle pratikte geri çevrilemez.

Dolandırıcıların işini kolaylaştıran da bu hız ve kesinliktir. Yanlış adrese gönderim, yanlış ağ seçimi veya sahte bir adrese transfer gibi hatalarda, karşı taraf iade etmezse parayı geri almak çoğu zaman teknik olarak mümkün olmaz. Bazı borsalarda işlem “zincire çıkmadan” önce iptal edilebilen durumlar görülebilir. Ancak işlem blokzincirde kesinleştiyse, genelde geri dönüş beklenmemelidir.

Dolandırıcılık mı teknik saldırı mı, nasıl ayırt edilir?

Basit ayrım şu: Dolandırıcılık, sizi kandırıp kendi rızanızla para göndermenize veya cüzdanınızda bir “onay” vermenize dayanır. Phishing linki, sahte destek hesabı, sahte airdrop sayfası veya “yüksek getiri” vaadi gibi yöntemlerde transferi siz yaparsınız; iradeniz hileyle sakatlanır. Bu tip olaylar Türk Ceza Kanunu bakımından dolandırıcılık suçları kapsamında değerlendirilir; bilişim sistemleri kullanılarak işlenmesi halinde nitelikli hale de gelebilir.

Teknik saldırı ise izinsiz erişim, zararlı yazılım, hesap ele geçirme, akıllı sözleşme açığı gibi yöntemlerle siz fark etmeden gerçekleşir. Burada bilişim suçlarına ilişkin hükümler gündeme gelebilir.

Uygulamada ikisi iç içe geçer. Örneğin “sahte site” sizi kandırır, ardından imzalattığı işlemle cüzdanı boşaltır. Bu yüzden ayırt etmek için şu soruyu sorun: “Ben mi gönderdim, yoksa benden habersiz mi gitti?” Bu cevap, hem şikâyet stratejisini hem de toplanacak delil türünü belirler.

En yaygın kripto dolandırıcılığı türleri ve kısa örnekler

Yatırım ve yüksek getiri vaadi tuzakları

Bu grup, en klasik ama hâlâ en çok can yakan yöntemlerden biridir. Mantık genelde aynıdır: “Az yatır, kısa sürede katla, garanti” vaadi. Kripto piyasasındaki hızlı fiyat hareketleri bu hikâyeyi inandırıcı gösterir.

Kısa örnekler:

• Telegram veya WhatsApp’ta “VIP sinyal grubu”na alınmanız istenir. İçeride sahte kâr ekran görüntüleri paylaşılır. Sizden belirli bir adrese kripto göndermeniz veya “yönetilen hesap” açmanız talep edilir.
• “Staking ile günlük %3” gibi gerçekçi olmayan getiri oranları pazarlanır. İlk günlerde küçük bir ödeme yapıp güven kazanırlar, sonra daha büyük meblağ istenir.
• “Aracı yatırım şirketi” gibi davranıp sözleşme, dekont, sahte lisans görselleri gösterirler. Para transferi çoğu zaman kişisel cüzdan adresine yapılır.

Sahte borsa, cüzdan ve uygulama dolandırıcılıkları

Burada hedef, sizi sahte bir platforma yönlendirip giriş bilgilerinizi, seed phrase’inizi veya cüzdan onayınızı almaktır. En tehlikelisi, “destek ekibi” gibi davranıp adım adım yönlendirmeleridir.

Kısa örnekler:

• Arama motorunda reklama tıklarsınız. Site tasarımı gerçek borsanın aynısıdır, ama alan adı bir harf farklıdır. Giriş yapınca SMS kodu dahil bilgilerinizi toplarlar.
• Mobil uygulama mağazasında borsaya benzeyen uygulama indirtirler. Uygulama sizden seed phrase ister. Seed phrase verildiği anda varlıklar başka adrese çekilebilir.
• Tarayıcı eklentisi şeklinde sahte cüzdan kurdurup, işlem imzalatırken adresi arka planda değiştirirler.

Halı çekme ve sahte proje dolandırıcılıkları

“Halı çekme” (rug pull) ve sahte proje dolandırıcılıklarında, proje ekibi veya içeriden kişiler fiyatı şişirip likiditeyi çekerek ya da toplu satış yaparak yatırımcıyı zararda bırakır. Bu tür vakalarda mağdurlar çoğu zaman “dolandırıldım mı, yoksa kötü yatırım mı yaptım?” ikilemini yaşar.

Kısa örnekler:

• Yeni çıkan bir token “ön satış” ile pazarlanır. Toplanan para proje cüzdanında birikir, sonra ekip ortadan kaybolur.
• Likidite havuzu kilitli denir, ancak gerçekte kilit yoktur. Likidite çekilince alım satım fiilen durur.
• “Ortaklık duyurusu” ve sahte yol haritası ile hype yaratılır. Ekip tokenlarını tepe fiyattan satar, fiyat hızla çöker.

Kimlik avı dolandırıcılığı: link, reklam ve sahte airdrop tuzakları

Arama motoru ve reklam üzerinden oltalama

Kimlik avı (phishing), sizi gerçek bir platformdaymış gibi görünen bir sayfaya yönlendirip giriş bilgilerinizi veya cüzdan onayınızı almaya çalışır. En sık senaryo arama motoru sonuçlarıdır. Dolandırıcılar, gerçek borsanın veya cüzdan sağlayıcısının adına çok benzeyen alan adlarıyla site kurar. Sonra reklam vererek en üste çıkar.

Buradaki risk şudur: Reklamla çıkan sonuç “resmi” gibi görünür. Siz de aceleyle tıklarsınız. Site, sizden oturum açmanızı ister. Bazen de “cüzdan bağla” deyip imza attırır. Güvenli yaklaşım, borsanın adresini her seferinde aramak yerine doğru URL’yi yer imlerine eklemek ve sadece oradan girmektir.

Sahte e-posta, SMS ve mesajlaşma uygulaması linkleri

E-posta ve SMS oltalamasında “hesabınız askıya alındı”, “çekim talebi var”, “KYC güncellemesi gerekli” gibi panik yaratan mesajlar kullanılır. Mesajın içindeki linke tıklayınca sahte giriş sayfası açılır. Mesajlaşma uygulamalarında ise “destek ekibi” gibi davranan hesaplar, sizi hızlıca bir linke yönlendirir.

Basit kontrol: Resmi kurumlar ve borsalar genelde sizden seed phrase istemez. Linke tıklamak yerine uygulamayı açıp bildirimi içeriden kontrol etmek daha güvenlidir. Şüpheli bir mesajda, gönderici adresi ve alan adı yazımı da mutlaka incelenmelidir.

Airdrop ve sahte token ile cüzdan boşaltma

Airdrop dolandırıcılığında size “ücretsiz token” vaadi sunulur. Cüzdanınıza gerçekten bir token düşebilir. Ama tokenın açıklamasında “claim” linki vardır. Bu link, kötü amaçlı bir dApp’e götürür. Siz “ödülü almak” için cüzdan bağlar ve işlem imzalarsınız. İmzaladığınız şey bazen sınırsız harcama izni (allowance) verir veya varlık transferine onay üretir.

Bu yüzden cüzdanınıza gelen her tokenı güvenilir sanmayın. “Ücretsiz” diye görünen tekliflerde özellikle dikkatli olun. Phishing hakkında temel kavramları bilmek için phishing tanımı iyi bir başlangıçtır.

Sosyal mühendislik dolandırıcılıkları: ünlü taklidi, çekiliş, romantik tuzak

Hediye ve çekiliş vaadiyle kripto isteme

Sosyal mühendislikte amaç, teknik bir açık bulmaktan çok sizin karar verme sürecinizi yönetmektir. “Çekiliş kazandınız”, “hediye gönderiyoruz” gibi mesajlar bu yüzden etkilidir. Çoğu senaryoda küçük bir “işlem ücreti”, “doğrulama bedeli” veya “vergiyi önce yatırın” talebi gelir. Siz para gönderdiğiniz anda konu uzar: Daha fazla ücret, daha fazla doğrulama, daha fazla bahane.

Kriptoda genel kural nettir: Gerçek bir hediye veya çekiliş, ödülü göndermek için sizden önce kripto istemez. Özellikle “şu adrese gönder, iki katı geri gelsin” gibi vaatler neredeyse her zaman dolandırıcılıktır.

Ünlü, şirket ve destek ekibi taklidi

Bu tür dolandırıcılıkta dolandırıcı, güven duygusunu “otorite” üzerinden kurar. Taklit hesaplar, birebir aynı profil fotoğrafı, benzer kullanıcı adı, hatta sahte doğrulama rozetleriyle karşınıza çıkabilir. Bir diğer yaygın senaryo da “müşteri hizmetleri” taklididir. Siz sosyal medyada şikâyet yazarsınız, dakikalar içinde “destek” olduğunu iddia eden bir hesap size DM atar.

Kırmızı çizgi: Hiçbir meşru destek ekibi sizden seed phrase, özel anahtar veya ekran paylaşımıyla giriş kodu istememelidir. “Cüzdanı doğrulamak için 12 kelimeyi yazın” gibi bir talep, doğrudan cüzdanı boşaltmaya yöneliktir. Şirketlerle iletişimde en güvenlisi, uygulamanın içindeki resmi destek kanalı veya şirketin doğrulanmış web sitesindeki iletişim sayfasıdır.

Romantik dolandırıcılık ve uzun süreli manipülasyon

Romantik dolandırıcılık (love scam) genelde hızlı değil, sabırlı ilerler. Dolandırıcı, haftalar hatta aylar boyunca güven kurar. Sonra “acil bir masrafım var”, “birlikte yatırım yapalım”, “şu borsada hesabım var, sana da kurayım” gibi bir hikâyeye geçer. Bazen size kâr gösteren sahte bir panel bile sunulur. Siz para yatırdıkça “çekim için vergi”, “komisyon”, “hesap açma ücreti” gibi ek ödemeler istenir.

Bu tür vakalarda mağdur, dolandırıldığını kabul etmekte zorlanabilir. Bu da gecikmeye yol açar. Oysa kriptoda süre kritik olabilir. Duygusal baskı, gizlilik talebi (“kimseye söyleme”) ve “hemen şimdi” aciliyeti bu dolandırıcılıkların tipik işaretleridir.

Kripto dolandırıcılığını gösteren kırmızı bayraklar nelerdir?

Garantili kazanç ve aciliyet baskısı

Kriptoda en güvenilir kırmızı bayrak, garantili kazanç vaadidir. Piyasa riski varken “kesin kâr”, “zarar etmezsin”, “içeriden bilgi” gibi ifadeler gerçekçi değildir. İkinci güçlü işaret de aciliyet baskısıdır. “Sadece bugün”, “5 dakika içinde yatır”, “son kontenjan” gibi cümleler, düşünmenizi engellemek için kullanılır.

Dikkat edilmesi gereken tipik davranışlar:

• Sorularınıza net yanıt vermemeleri, sürekli konuyu “hemen ödeme”ye getirmeleri
• Yazılı sözleşme, şirket bilgisi, lisans gibi taleplerde kaçamak cevaplar
• Sizi yalnız bırakmamak için sürekli arama ve mesajla yönlendirme

Seed phrase, özel anahtar ve onay izni isteme

Seed phrase (12-24 kelime) ve özel anahtar, cüzdanın anahtarıdır. Bunları paylaşmanız, çoğu durumda varlıklarınızın devredilmesi anlamına gelir. Hiçbir meşru borsa, cüzdan uygulaması veya “destek ekibi” sizden bu bilgileri istemez.

Bir diğer kritik konu da onay izni (approval). “Cüzdanı bağla, imza at” diye başlayan süreçlerde, siz fark etmeden bir akıllı sözleşmeye geniş harcama yetkisi verebilirsiniz. Özellikle “sınırsız onay” ve “ödül claim” işlemlerinde risk artar.

Adres ve URL benzerliği, kopyala-yapıştır riski

Dolandırıcılar, gerçek sitelerin alan adlarına çok benzeyen URL’ler kullanır. Aynı şekilde kripto adreslerinde de benzer karakterlerle kandırma yapılabilir. Bir de cihazınızda zararlı yazılım varsa, kopyaladığınız adres yapıştırınca değişebilir. Bu yüzden yalnızca kopyalamak yetmez, yapıştırdıktan sonra kontrol şarttır.

Alan adı ve kripto adresi doğrulama ipuçları

Yer imlerine kaydettiğiniz resmi siteyi kullanın ve her girişte alan adını tekrar okuyun. Kripto gönderimlerinde adresin ilk 6 ve son 6 karakterini mutlaka karşılaştırın. Mümkünse önce küçük bir test transferi yapın. Donanım cüzdanı kullanıyorsanız, ekrandaki hedef adresi onaylamadan önce dikkatle kontrol edin.

Dolandırıldıysanız ilk ne yapmalısınız ve nereye şikâyet edilir?

Hemen yapılacaklar: hesap, cüzdan ve cihaz güvenliği

Önce zararı durdurmaya odaklanın. Aynı anda hem cüzdanı hem hesapları güvene almak gerekir.

• Cüzdan tarafı: Şüpheli bir siteye cüzdan bağladıysanız, ilgili ağda verdiğiniz izinleri (approval) kontrol edin ve iptal edin. Mümkünse kalan varlıkları, güvenli bir cihazda yeni oluşturduğunuz yeni bir cüzdana taşıyın. Eski seed phrase’i artık “temiz” kabul etmeyin.
• Borsa tarafı: Borsa hesabınız etkilendiyse hemen şifreyi değiştirin, tüm cihazlardan çıkış yapın, API anahtarlarını kapatın, çekim adresi beyaz listesini ve güvenlik ayarlarını kontrol edin.
• E-posta ve SIM güvenliği: Borsa e-postanızın şifresini değiştirin, e-posta hesabında oturum açma geçmişini kontrol edin. SIM kopyalama şüpheniz varsa operatörle görüşüp hattınızı güvenceye alın.
• Cihaz güvenliği: Bilgisayar ve telefonda zararlı yazılım taraması yapın. Şüpheli eklentileri kaldırın. Mümkünse kritik işlemleri geçici olarak başka bir güvenilir cihazdan yürütün.

Bu aşamada amaç, ikinci bir transferi daha engellemektir.

Borsa ve cüzdan sağlayıcısına bildirim

Para bir borsa hesabına gitmiş olabilir. Bu durumda zaman kritik. Borsa destek birimine mümkün olan en hızlı yoldan yazın ve “dolandırıcılık şüphesi” olduğunu açıkça belirtin. Şunları hazır tutun:

• İşlemin tarihi ve saati
• TxID / işlem hash’i, gönderici ve alıcı adresleri
• Hangi ağda yapıldığı (ör. ERC-20, TRC-20 gibi)
• Ekran görüntüleri, sohbet kayıtları, sahte sitenin alan adı

Borsalar her zaman fon iadesi yapamaz. Yine de doğru ve hızlı bildirim, alıcı adresin borsa içindeki bir hesaba bağlı olması halinde hesabın dondurulması gibi ihtimalleri artırabilir. Kullandığınız cüzdan uygulaması varsa, uygulama içi destek kanalına da aynı bilgilerle başvurun.

Türkiye’de şikâyet kanalları ve delil toplama

Ceza soruşturması açısından temel yol, Cumhuriyet Başsavcılığına suç duyurusu yapmak veya kolluğa (Polis, Jandarma) başvurmaktır. Siber olaylarda, illerdeki Siber Suçlarla Mücadele birimleri üzerinden de süreç yürüyebilir.

Sahte site, oltalama sayfası ve zararlı içerik için ayrıca ihbarweb.org.tr üzerinden bildirim yapılması, benzer mağduriyetlerin önlenmesine yardımcı olabilir.

Delil tarafında en sık hata, mesajları silmek veya cihazı sıfırlamaktır. Şunları saklayın:

• Dolandırıcıyla yazışmalar, kullanıcı adları, telefon numaraları, e-postalar
• Sahte sitenin tam URL’si, reklam görseli, yönlendiren sayfa
• Kripto transfer kayıtları (TxID, adresler), borsa dekontları, banka hareketleri
• Varsa sözde sözleşme, makbuz, kimlik görseli, ekran kayıtları

Mümkünse ekran görüntülerinde tarih-saat görünsün. Dosyaları tek yerde toplayın ve yedekleyin.

Para kurtarma vaadiyle ikinci dolandırıcılık uyarısı

İlk olaydan sonra “paranı geri alırım”, “blockchain geri çekme”, “hack ekibi” gibi vaatlerle gelen kişiler, sıkça ikinci bir dolandırıcılık yapar. Genelde sizden “dosya masrafı”, “komisyon”, “mahkeme harcı”, “cüzdan doğrulama bedeli” adı altında yeni ödeme isterler.

Pratik kural: Sizden peşin ödeme isteyen, seed phrase talep eden veya uzaktan bilgisayar erişimi isteyen “kurtarma” tekliflerine güvenmeyin. Süreci savcılık başvurusu, borsa bildirimi ve gerekirse uzman hukuki destek üzerinden ilerletmek daha güvenlidir.