Telefonuna uygulama indirdi, 8,5 milyon TL buhar oldu!

Kripto para dolandırıcılığı olaylarına her geçen gün bir yenisi ekleniyor. Bir kripto para yatırımcısı, telefonuna indirdiği uygulama sonrası 8,5 milyon TL kaybetti.

Son dönemde kripto paraların değerinin hızla artmasıyla, kripto para hırsızlıkları da yaygınlaşmaya başladı. Hırsızlar Bitcoin ve diğer kripto paraların sahiplerine kurdukları tuzaklarla birkaç saniye içinde milyonlarca dolarlık vurgunlar yapabiliyor.

Sosyal medya üzerinden yayılan ve Elon Musk, Bill Gates gibi kişilerin isimlerini kullanarak gerçekleştirilen dolandırıcılıklara şimdi de sahte akıllı telefon uygulamaları üzerinden yapılanlar eklendi. ABD'de yayımlanan Washington Post gazetesi, dolandırıcılara Bitcoin'in bugünkü değeriyle yaklaşık 8,5 milyon Türk lirası kaptıran bir ABD'linin hikayesini mercek altına aldı. İşte bir Bitcoin hırsızlığı hikayesi... 

Philippe Christodoulou, Bitcoin hesabında ne kadar olduğunu kontrol etmek istediği sırada başına geleceklerden habersizdi. Kripto paralarını Trezor marka flash bellek benzeri bir fiziksel cüzdanda taşıyordu. Bu nedenle telefonundan Apple App Store'a girip arama çubuğuna "Trezor" yazarak arama tuşuna bastı.

Karşısına çıkan uygulamada şirketin parlak yeşil zemin üzerine asma kilit şeklindeki logosu bulunuyordu. Uygulamanın mağazadaki değerlendirme puanı neredeyse 5 yıldızdı. Bütün bunlara güvenen Christodoulou uygulamayı telefonuna indirip Bitcoin hesabının kullanıcı bilgileriyle gönlü rahat bir biçimde giriş yaptı.

Ancak birkaç saniye içinde olanlar oldu. Christodoulou'nun hesabında bulunan yaklaşık 600 bin dolar değerindeki 17,1 Bitcoin bir anda buhar olup uçtu. Çünkü uygulama sahteydi, Christodoulou gibi kişileri dolandırıp Bitcoin'lerini çalmak için kurulmuş bir tuzaktı.

HIRSIZLARDAN ÇOK APPLE'A ÖFKELİ

Kuru temizlemecilikten kazandığı parayı Bitcoin'e yatıran Christodoulou, pandeminin başında 5500 dolara 18,1 Bitcoin almıştı. Ekim ayında Bitcoin'in değeri uçuşa geçtiğinde, o da birikimlerinin pandemiden zarar gören işini kurtarmaya yardımcı olacağını umut ediyordu. 1 Şubat'ta hesabını bilgisayar yerine telefonundan kontrol etme hatasını yaptı ve indirdiği uygulama cüzdanını bir anda boşalttı.

Christodoulou, App Store'a dönüp baktığında uygulamada 155 yorum vardı. Yorumları okuduğunda benzer şekilde dolandırılanların şikayetleriyle karşılaştı. Christodoulou, Apple müşteri hizmetlerini aradı. Bir temsilci konuyu yöneticisine ileteceğini belirtirken Christodoulou, Apple'a ve FBI'a ayrı ayrı başvurularda bulundu.

Yaşadıklarını Washington Post'a anlatan Christodoulou, hırsızlardan çok Apple'a öfkeli olduğunu belirterek, App Store'un güvenilir bir uygulama mağazası olarak pazarlandığını, her uygulamanın burada kullanıcılara sunulmadan önce değerlendirmeden geçtiğini söyledi

Geçmişte sadık bir Apple müşterisi olduğunu da belirten Christodoulou, "Onlara duyduğum güvene ihanet ettiler. Bu Apple'ın yanına kalmamalı" diye konuştu.

APPLE'IN DENETİM MEKANİZMASI VAR AMA…

Apple, App Store'un "dünyanın en güvenilir uygulama mağazası" olduğunun altını sık sık çiziyor. Buraya çıkacak olan her uygulama önce taranıyor, değerlendiriliyor, güvenli, sağlam, faydalı ve benzersiz olduğu denetleniyor. Ancak uzmanlar dolandırıcıların Apple'ın denetimini kolayca aşabildiğini belirtiyor.

Apple'ın açıklamalarına göre, kötü amaçlı uygulamaları geliştirenler, önce masum uygulamaları denetime sunuyor, daha sonra bunları oltalama uygulamalarına dönüştürerek insanların bilgilerini ve bu örnekte olduğu gibi paralarını çalıyor. Apple bu tür uygulamaların tespit edildiği noktada kaldırıldığını, geliştiricilerin de engellendiğini belirtiyor. Ancak o noktada dolandırılanlar için iş işten geçmiş oluyor.

Kripto para dolandırıcılığı Google'ın Android cihazlarında ve internet sitelerinde de oldukça yaygın. Ancak bu uygulamaların, her uygulamayı test ettiğini söyleyen App Store'a girebilmiş olması oldukça şaşırtıcı. Hatta şirketin açıklamalarında, App Store'daki uygulama satışlarından kazanılan yüzde 15 ila 30'luk komisyonun müşteri deneyimini iyileştirmek adına yapılan kürasyona harcandığı da ifade ediliyor.

Washington Post'a konuşan Apple sözcüsü Fred Sainz, "App Store'u yaratma fikrinin temelinde kullanıcı güveni yatıyor. İlk günden beri bu konudaki kararlılığımızı artırarak sürdürdük" dedi.

Sainz, "Araştırma üstüne araştırma gösteriyor ki App Store dünyadaki en güvenilir uygulama mağazası ve sürekli bu standardı sürdürmek ve App Store'un güvenliğini sağlamlaştırmak için çalışıyoruz. Suçluların kullanıcılarımızı dolandırdığı münferit olaylarda, bu şahıslara karşı hızla harekete geçiyor ve gelecekte de benzer ihlallerin olmasını önlüyoruz" diye konuştu.

Ancak uygulamaların bir kez onaydan geçtikten sonra bambaşka bir şeye dönüştürülebilmesi, Apple'ın değerlendirme sürecinin dolandırıcılar karşısındaki gücünün sorgulanmasına yol açıyor. Apple bu tür olayların ne sıklıkla yaşandığını ya da bu tür uygulamaların ne sıklıkla kaldırıldığını açıklamıyor. Ancak şirketten yapılan açıklamada geçtiğimiz yıl "gizli ya da belgelenmemiş özellikler" nedeniyle 6 bin 500 uygulamanın kaldırıldığı bildirildi.

KULLANICI GÜVENLİĞİ BAHANE Mİ?

Diğer yandan Apple kullanıcı güvenliğini, iPhone uygulamalarının dağıtımı üzerinde bir tekel oluşturduğuna yönelik yasa yapıcılar, piyasa düzenleyicileri ve rakiplerden gelen suçlamalara karşı da bir kalkan olarak kullanıyor.

Apple'ın App Store üzerindeki gücünü kırma amacıyla yola çıkan Uygulama Adalet Komisyonu Direktörü Meghan DiMuzio, "Apple, rekabet karşıtı App Store işlemlerine karşı bir güvenlik kalkanı olarak sık sık kullanıcıların mahremiyetini ve güvenliğini öne sürüyor" diye konuştu. DiMuzio, "İşin doğrusu, Apple'ın güvenlik 'standartları' tutarsız bir biçimde uygulanıyor ve sadece Apple'a faydası olduğu zamanlarda yaptırıma dönüşüyor" ifadelerini kullandı.

Apple, App Store'da başka kripto para dolandırıcılık uygulamaları bulunduğunu da kabul etti ama sayılarını belirtmedi. Öte yandan şirket sahte Trezor uygulamalarının App Store'a geçmişte mi girdiğini yoksa gelecekte tüm Trezor uygulamalarının potansiyel dolandırıcılık olarak mı görüleceğini de açıklamadı.

5 AYDA 7 BİN HIRSIZLIK

İngiltere merkezli kripto para regülasyonu ve sahtekarlık soruşturmaları şirketi Coinfirm, Ekim 2019'dan bu yana kendilerine ulaşan 7 binden fazla çalıntı kripto para şikayeti olduğunu ifade etti. Şirketin CIO'su Pawel Aleksander, Google'a ait Android Play Store ve Apple'a ait App Store'da sahte uygulamaların çok yaygın olduğunu belirtti.

Coinfirm'e göre, sahte Trezor uygulamasıyla kripto para kaptıran Apple kullanıcısı 5 kişi kendilerine bildirimde bulundu. Bu kişilerin toplam kaybı 1,6 milyon doları buldu. Bunun yanı sıra Android'de de 3 vaka yaşandı. Orada da toplam 600 bin dolar değerinde kripto para çalındı.

Sahte Trezor uygulamasını geliştirenlerin kimliğini ya da iletişim bilgilerini açıklamayan Apple, bu kişilerin yargıya mı devredileceği yoksa soruşturmanın mı sürdürüleceğini de netleştirmedi. Apple ayrıca aynı geliştiricinin geçmişte bu kullanıcı adı ya da başka kullanıcı adları üzerinde başka uygulamaları piyasaya sürüp sürmediğini de açıklamadı.

ANDROID KULLANICILARI DA TEHLİKEDE

Google sözcüsü Colin Smith de yaptığı açıklamada, "Bir başka uygulama, geliştirici ya da şirketi taklit ederek kullanıcıları yanlış yönlendiren uygulamalara izin vermiyoruz ve bir uygulamanın politikalarımızı ihlal ettiğini keşfettiğimizde uygun önlemleri alıyoruz" diye konuştu.

Google ayrıca Play Store'da var olduğu bilinen iki sahte Trezor uygulamasının da kaldırıldığını bildirdi ancak bu uygulamaların mağazaya nasıl sızdığını açıklamadı. Şirketin güvenlik güçlerine başvurup başvurmadığı da belli değil. Ancak uygulama analizleriyle uğraşan App Figures şirketi, Play Store'da sekiz Trezor uygulaması keşfetti.

Kripto para hırsızlığı, internetteki tüm dolandırıcılıklar arasında getirisi en yüksek olanı. Milyon dolarlar değerinde dijital para saniyenin altındaki süreler içinde el değiştirebiliyor. Hatta Coincheck'in hack'lendiği 2018 yılında tek seferde 530 milyon dolar bir anda çalınmıştı.

Apple 2014'te kripto cüzdanları App Store'da yasaklandı ama daha sonra bu yasağı kaldırdı. Şu an kripto para madenciliği uygulamaları App Store'da yer almazken, kripto cüzdan uygulamalarına da ekstra kısıtlamalar uygulanıyor.

'SEED PHRASE'LERE DİKKAT

Kripto para yatırımı yapanlara varlıklarını flash bellek benzeri "donanım cüzdanlarda" saklamaları tavsiye ediliyor. Bu cüzdanlar bilgisayara USB port'u aracılığıyla bağlandıktan sonra bir PIN kodu ve şifre giriliyor. Ardından işlem yapılabiliyor. Eğer bu cihaz kaybolur ya da işlemez hale gelirse diye kullanıcı bilgileri, "seed phrase" olarak adlandırılan ve 2048 kelime arasından rasgele seçilen 12-24 kelimeden oluşan gizli bir metinde saklanıyor. Bazı kişiler bu gizli metni kasalarda ya da ateşe dayanıklı metal kutularda saklıyor. Bazı dolandırıcılar kişileri bu metni açıklamaya yönlendirecek tuzaklar da kuruyor.

Trezor ise merkezi Çekya'da bulunan, Satoshi Labs'e ait bir şirket. Ünlü bir donanım cüzdan üreticisi olan Trezor'un gerçekte bir akıllı telefon uygulaması yok. Şirketin sözcüsü Kristyna Mazankova, Apple ve Google'ı yıllardır sahte uygulamalara karşı uyarmakta olduklarını belirterek, gerçek uygulama için çalışmalarının da sürdüğünü söyledi. Mazankova, sahte uygulamaları bildirme süreçlerinin ise "acı verici" olduğunu ve Apple ya da Google temsilcilerinin kendileriyle iletişim kurmadığını belirtti.

Mazankova'ya göre Trezor Apple'ı 1 Şubat'ta sahte uygulamaya karşı uyardı. Uygulama 3 Şubat'ta kaldırıldı ama Christodoulou'ya göre birkaç gün sonra yeniden hortladı. Dolandırıcılık olayından sonra da yine kaldırıldı.

APPLE TARAFINDA NELER OLDU?

Apple'a yapılan bildirimde sahte Trezor uygulamasının ismi ve logosu gerçek Trezor'la aynı olmakla birlikte, amacı bir "kriptografi" yani dosya şifreleme uygulaması olarak belirtiliyordu. Sahte uygulamanın geliştiricisi Apple denetim ekibine "herhangi bir kripto para ile alakası olmadığını" da ifade etmişti. Mobil analiz şirketi Sensor Tower'a göre Apple uygulamayı onayladı, 22 Ocak'ta sahte Trezor App Store'da yayınlandı.

Bir süre sonra Apple farkında olmadan kriptografi uygulaması bir kripto para cüzdanına dönüştü. (Apple normalde bu tür değişikliklere izin vermiyor ama bunların takibini de yapmıyor. Bu tür uygulamaların bildirilmesinde kullanıcıların ve müşterilerin işbirliğine güveniyor.) Trezor sahte uygulamayı Apple'a bildirdikten sonra, Apple uygulamayı kaldırıp geliştiriciyi engelledi. İki gün sonra bir başka sahte Trezor uygulaması yüklendi. Apple bu uygulamayı da kaldırdı. Sahte uygulamalardan nasıl haberdar olduğunu açıklamayan şirket, uygulamaların dolandırıcılık gerekçesiyle kaldırıldığını doğruladı.

Sensor Tower, Trezor uygulamasının App Store'da en iyi ihtimalle 22 Ocak-3 Şubat tarihleri arasında kullanıcılara sunulduğunu ve yaklaşık 1000 kez indirildiğini bildirdi. Uygulama Android'de de aşağı yukarı aynı sayıda indirildi ama buradaki tarih aralığı bilgisi Sensor Tower'ın kayıtlarında yer almıyor.

BİR KURBAN DAHA VAR

Sahte Trezor uygulamasına para kaptıranlardan biri de mühendis James Fajcz. Aralık ayında dijital paraların değerlendiğini gören Fajcz, Coinbase ve Binance üzerinden 14 bin dolar değerinde Ethereum ve Bitcoin satın aldı. Yatırımının güvenli olmasını isteyen Fajcz, bir Trezor donanım cüzdan satın aldı. Bir yandan da iPhone'una uygulamayı indirdi. Uygulama Fajcz'a seed phrase'ini sordu, Fajcz da giriş yaptı. Ancak uygulama ile Trezor cüzdan arasında bağlantı kurulamayınca Fajcz, "Çalışmıyor herhalde" diye düşündü.

Birkaç hafta sonra Coinbase üzerinden biraz daha Ethereum satın aldığında cüzdanını bilgisayara taktı ve inanılmaz manzarayla karşılaştı. Cüzdan bomboştu. Reddit'te bir Trezor forumuna sorununu yazan Fajcz'ı şoke eden cevap bir başka kullanıcıdan geldi: "Trezor uygulaması diye bir şey yok." Fajcz o an hissettiklerini, "Ağzım açık kaldı. Kalbim yerinden çıktı. Ne yaptığımın farkına vardım" diye konuştu.

Apple'ın destek hattını arayan Fajcz, "Biz sorumlu değiliz" cevabını aldı.  Fajcz, Washington Post'a, "Bu en güvenilir uygulama mağazası olma iddiasını taşıyan App Store'da bulunan, güvenilir bir uygulamaydı. Bu kötü amaçlı uygulama platforma nasıl girdi? Ben Apple'ın kısmen hatta tamamen sorumlu tutulması gerektiğini düşünüyorum" diye konuştu.

İKİ HIRSIZLIK BAĞLANTILI

Ticari blokzincir analiz şirketi Chainalysis, Pajcz ve Christodoulou'nın belgelerini inceleyerek, ikisinin kripto paralarının da şüpheli bir hesaba aktarıldığını tespit etti. Şirket sözcüsü Madeleine Kennedy'e göre, iki hırsızlık arasında bağlantılar var gibi görünüyor. Kennedy, "Bunun yüz binlerce dolar değerinde büyük bir dolandırıcılık olduğuna dair kanıtlar mevcut" diye konuştu.

Peki ya Christodoulou'ya ne oldu? Onun elinde sadece BlockFi isimli Bitcoin tasarruf hizmetine aktardığı 1 Bitcoin kaldı. Hırsızlık esnasında 600 dolar eden kripto parasının değeri ise kısa sürede 1 milyon doları geçti.

Yaşadıklarının etkisini halen atlatamadığı için psikiyatrik tedavi görüyor. Apple'dan ise halen haber alabilmiş değil.