SIM SWAP Nedir?
Kripto para yatırımcılarının dikkat etmesi gereken bir dolandırıcılık yöntemi olan SIM SWAP’ı bir dolandırıcının, kurbanın kimliğine bürünerek telefon operatörünü ikna etmesi ve numarayı kendi SIM kartına taşıtması olarak tanımlayabiliriz.
Chainalysis’in 2026 yılı verilerine göre kripto para dolandırıcılıklarında yüzde 3 gibi küçük bir paya sahip olan bu dolandırıcılık türünün, gerçekleşme olasılığının düşük olması nedeniyle genellikle yatırımcılar tarafından göz ardı edildiği görülmektedir. Ancak geleneksel finans piyasaları yatırımcılarını da ilgilendiren bu dolandırıcılık türüne karşı her zaman tedbirli olmak gerekir. Zira SIM SWAP yönteminin istatistiksel verilerinin gerçekleşme-sonuç ikilemi açısından uçak kazalarına benzediği söylenebilir. Uçaklar diğer taşıma araçlarına göre çok daha güvenlidir ve kaza oranı çok düşüktür. Buna karşın, uçak kazalarının düşük gerçekleşme oranına karşın can kaybı olasılığı çok yüksektir. Bu nedenle, havacılık için yaygın olarak dillendirilen ‘’Havacılıkta kurallar kan ile yazılır.’’ mottosunun yatırımcılar için siber güvenlik konusunda da yol gösteri olabileceğini söyleyebiliriz.
SIM SWAP Saldırısı Nasıl Uygulanır?
Dolandırıcı, öncelikle kurbanının sosyal medya profillerinden bilgi toplar. Daha sonra dark web’den kurban ile ilgili verileri satın alır ya da phishing e-mailleriyle kişisel bilgileri elde eder. Ardından dolandırıcı, telefon operatörüyle temasa geçer ve kurbanın bilgilerinden yararlanarak telefonunu kaybettiğini öne sürer. Operatör şirketin özensiz davranması durumunda da numarayı yeni karta taşır.
Saldırı Sonrası Ne Tehlikeye Girer?
Numaraya erişen dolandırıcı, SMS tabanlı 2FA kodlarını ve şifre sıfırlama mesajlarını ele geçirir. Bu sayede banka hesapları, kripto cüzdanları ve sosyal medya hesapları dahil telefon numarasıyla ilişkili tüm hesaplar risk altına girer.
Saldırıyı Nasıl Anlarsınız?
Telefonun aniden şebeke kaybetmesi , hesaplardan kilitlenme ya da şüpheli giriş bildirimleri almak ilk aşamada görülebilecek ciddi uyarı sinyalleridir. Bu durumda operatörü arayarak numaranıza bağlı SIM Card’ı kapatmak sorunun hızlı bir şekilde çözülmesini sağlayabilir.
Korunma Yöntemleri:
SMS yerine bir authenticator uygulaması kullanın. Kodlar telefon numarasına değil cihaza bağlıdır, dolayısıyla SIM swap etkisiz kalır. Operatörünüzden numara için "port kilidi" veya ek PIN tanımlamasını talep edin. Tüm hesaplarınızda uzun , tahmin edilemez ve benzersiz şifreler kullanın. Güvenlik sorularına rastgele yanıtlar verin ve bunları güvenli bir yerde saklayın. Sosyal medyada doğum tarihi, adres ve telefon numarası gibi kişisel bilgileri paylaşmaktan kaçının.
Vaka Örneği: Türkiye'nin En Büyük SIM Swap Davası
2023 yılının son aylarında ciddi sayıda takipçisi olan , kripto para üzerine içerik üreten bir Türk YouTuber'ın telefonu aniden suskunlaştı. Operatörden gelen tek bir SMS, her şeyin başlangıcını işaret ediyordu: "SIM kartınız değiştirilmiştir."
Saldırı, tek bir hamlede değil, avukat açıklamasından anlaşıldığına göre dakika dakika ince bir şekilde kurgulanmış bir operasyonla işledi. Şüpheli şahıslar önce sahte bir kimlik belgesi hazırladı ve bu belgeyle Oparatörün bayisine başvurarak SIM kart değişikliği talep etti. Bayi çalışanının özensizliği sonucu bu talep onaylandı ve asıl kart iptal edildi. Böylece yeni kart şüphelilerin eline geçti.
Bu aşamadan sonrası ise tam anlamıyla bir domino etkisiydi. Yeni SIM kartıyla e-posta şifreleri değiştirildi. Ardından bu e-posta adresine kayıtlı tüm platformlara kripto borsaları ile YouTube, Instagram ve Twitter hesaplarına eş zamanlı saldırı başlatıldı. Authenticator ile korunan hesaplara şüpheliler giriş yapamazken, 2FA yöntemi olarak SMS kullanan hesaplar dakikalar içinde ele geçirildi.
Kurban, saldırıyı ancak e mailine gelen "Hesabınızı kurtarmaya çalışan kişi siz misiniz?" şeklindeki uyarıyla fark edebildi . Ama o anda e-posta erişimi de kesilmişti. Organize yapı aynı dakika içinde yaklaşık 15 farklı borsa hesabına saldırdı. Kurban youtuber, hesaplarını bloke ettirerek çekimleri kısmen durdurabildi.
Hukuki süreç hızlı ilerledi. Olay gecesi saat 19:00'da İstanbul Emniyet Müdürlüğü Siber Suçlarla Mücadele Şube Müdürlüğü'ne başvuruldu. Operatör şirketinin bayi sahibi ve sahte kimliği ibraz eden şüpheli, olay gecesi gözaltına alındı ve tutuklama talebiyle nöbetçi hakimliğe sevk edildi. SIM kart ise ancak on sekiz saat sonra kurtarılabildi.
Bu vaka, SMS tabanlı 2FA'nın ne denli kırılgan olduğunu ve bir telefon numarasının tüm dijital kimliğin anahtarına dönüşebileceğini çarpıcı biçimde gözler önüne sermiştir. Saldırının teknik karmaşıklığından çok bayideki tek bir güvenlik açığının (kimlik doğrulamasının yetersizliğinin) nasıl milyonluk bir hasara yol açabildiği, bugün hâlâ tartışılmaya devam etmektedir.
Coinpara'da Hesabınızı SIM Swap'a Karşı Nasıl Korursunuz?
SIM swap saldırısının en tehlikeli yanı, zincirin en zayıf halkasını hedef almasıdır: telefon numaranız. Dolandırıcılar, numaranızı ele geçirdiğinde, SMS ile gelen tüm doğrulama kodlarına kolayca erişim sağlar. Peki Coinpara'nın sunduğu araçları doğru kullanarak bu zinciri nasıl güçlendirirsiniz?
1. SMS 2FA'yı Bırakın, Google Authenticator'a Geçin
Coinpara, Google Authenticator ve diğer tek kullanımlık şifre yöntemlerini desteklemekte ve mobil uygulamayı kullanabilmek için 2FA aktivasyonunu zorunlu tutmaktadır. Coinpara Hesabınıza giriş yapın, sağ üst köşeden Profilim > Güvenlik bölümüne ilerleyin ve SMS yerine Authenticator'ı seçin. Bu kodlar telefon numaranıza değil doğrudan cihazınıza bağlı olduğundan, SIM swap saldırısı bu güvenlik katmanını devre dışı bırakamaz.
2. Güçlü ve Özgün Bir Şifre Belirleyin
Coinpara, hesap güvenliği için güçlü bir parola oluşturulmasını ve gelişmiş güvenlik özelliklerinin kullanımını zorunlu tutabilmektedir. Yalnızca Coinpara'ya özel, başka hiçbir platformda kullanmadığınız bir şifre belirleyin. Hesabınızı ele geçirmeye çalışan biri e-postanıza erişse bile, farklı ve güçlü bir şifre bu kapıyı kapalı tutar.
3. Hesabınıza yalnızca resmi adresten erişin
Coinpara, kullanıcılarına internet üzerinden hesabına erişirken daima coinpara.com adresi üzerinden bağlandıklarından emin olmalarını tavsiye etmektedir. Yaygın bir dolandırıcılık yöntemi olan phishing için oluşturulabilecek sitelere karşı tedbir olarak tarayıcınızdaki adresi mutlaka kontrol edin. Tarayıcınıza adresi her seferinde elle yazın ya da kayıtlı yer imine tıklayın.
4. Hesabınızda şüpheli bir hareket görürseniz anında bildirin
Hesabınızda yetkisiz veya şüpheli bir etkinlik fark ederseniz [email protected] adresine e-posta göndermeniz ve derhal bildirmeniz gerekmektedir. Coinpara, güvenliğin tehlikeye atıldığına dair yazılı bildirim aldıktan sonra hesabı geçici olarak dondurabilir.
5. Doğrulama kodlarınızı kimseyle paylaşmayın
Kullanıcıya ait hesap adı, şifre ve gönderilen doğrulama kodları kimseyle paylaşılmamalıdır. Aksi durumda oluşabilecek kayıp ve hasarların sorumluluğu yalnızca kullanıcıya aittir. Coinpara çalışanları dahil hiç kimse sizden bu bilgileri telefon ya da e-posta yoluyla talep edemez. Böyle bir talep aldığınızda bu kesinlikle bir dolandırıcılık girişimidir.
Bu beş adım, telefon numaranız ele geçirilmiş olsa bile hesabınızı koruyan bağımsız bir güvenlik katmanı oluşturur. SIM swap saldırısının gücü, SMS'e olan bağımlılıktan kaynaklanır. Bu bağımlılığı kırmak tamamen sizin elinizdedir.
YASAL UYARI
Burada yer alan yatırım bilgi, yorum ve tavsiyeleri yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihleri dikkate alınarak kişiye özel sunulmaktadır. Burada yer alan yorum ve tavsiyeler ise genel niteliktedir. Bu tavsiyeler mali durumunuz ile risk ve getiri tercihlerinize uygun olmayabilir. Bu nedenle, sadece burada yer alan bilgilere dayanılarak kripto varlık alım satımı veya yatırım kararı verilmesi beklentilerinize uygun sonuçlar doğurmayabilir.
Bu bilgi, rapor, yorum ve tavsiyelerin tarafınızla paylaşılması, bunlara herhangi bir platformdan erişim sağlamanız veya bunları başka bir yolla edinmeniz, "Coinpara" ile aranızda bir yatırım danışmanlığı sözleşmesi kurulduğu veya böyle bir ilişkinin kurulması için tarafınıza teklif yapıldığı anlamına katiyen gelmeyecektir.
Bilgi, rapor ve yorumlarda yer alan hiçbir ifade veya değerlendirme hukuki, vergisel veya finansal danışmanlık niteliğinde değildir ve bu niteliği sahip olacak şekilde yorumlanamaz.