Kripto para borsası BtcTurk’un ismini kullanarak kimi kullanıcılara yollanan SMS’ler güvenlik ihlaline dair soru işaretleri doğurdu. Şikayetvar platformunda yer alan paylaşımlara nazaran, BtcTurk hesabı olmayan kullanıcılara güya süreç yapıyor ya da borsaya üye oluyormuş üzere görünen doğrulama kodu yollandı. Borsanın ismiyle yollanan kelam konusu bildiriler platformda güvenlik açığı olup olmadığına dair kaygılar yaratırken, şirketten açıklama geldi.
Söz konusu kullanıcılar BtcTurk ile hiçbir kontaklarının olmadığını ve daha evvel rastgele bir üyelik ya da süreç yapmadıklarını belirtti. Şikayetvar platformundaki bir kullanıcı, “7 Ağustos’ta BTCTURK ismiyle bir SMS aldım, fakat bu borsa ile hiçbir münasebetim yok. Numaramın müsaadesiz kullanılması beni rahatsız etti, büsbütün silinmesini istiyorum” derken, bir oburu “BTCTURK hesabım olmamasına karşın Authenticator doğrulama kodu geldi. Bilgilerimle hesap açılmış olma ihtimali beni endişelendiriyor” tabirlerini kullandı.
BtcTurk’ten açıklama: “Hesabınız güvende”
BtcTurk tarafından hususa dair yapılan resmi açıklamada ise kullanıcıların endişelenmesine gerek olmadığı belirtildi. Açıklamada, platformda hesap açmak için sırf SMS doğrulamasının kâfi olmadığı, e-posta doğrulaması, kimlik doğrulama ve canlılık testi üzere bir dizi güvenlik adımının eksiksiz tamamlanması gerektiği vurgulandı.
“SMS’leri dikkate almayın, bunlar başarısız girişimler”
Şirket, “Bu adımlar tamamlanmadan hesap oluşturmak mümkün değildir. Bu nedenle, sizin başlatmadığınız bir üyelik denemesi sonucu gelen SMS’leri dikkate almanıza gerek yoktur. Bunlar başarısız ve sonuçsuz kalan girişimlerdir” tabirlerini kullandı. Ayrıyeten, bu çeşit denemeleri önlemek için gerekli teknik tedbirlerin alındığını da ekledi.
SMS spoofing nedir?
SMS spoofing, makus niyetli bireylerin ileti gönderdikleri numara yahut isim bilgisini değiştirmesine verilen isimdir. Bu sistemle saldırganlar, gönderdikleri bildirinin “BTCTurk”, “bankanız” yahut bilinir bir kurumdan geliyor üzere görünmesini sağlar.
Genellikle dolandırıcılık gayesiyle kullanılan bu metot, kullanıcıyı uydurma bir siteye yönlendirmek, ferdî bilgilerini almak yahut ziyanlı bir süreç yaptırmak için kullanılıyor. Her ne kadar bu bildiriler gerçek bir kurumdan gelmiş üzere görünse de gerçekte farklı bir kaynaktan gönderilir.
