Cryptojacking Nedir? İzinsiz Kripto Madenciliği Saldırısı
Cryptojacking; bir saldırganın, kurbanın bilgisayarını, telefonunu ya da sunucusunu rızası olmadan ele geçirerek gizlice kripto para madenciliği yaptığı siber saldırı yöntemidir. Donanım ve elektrik maliyeti, farkında olmayan kurbana yüklenir. Enfeksiyon genellikle iki yolla gerçekleşir: kimlik avı veya sahte uygulamalar aracılığıyla indirilen kötü amaçlı yazılımlar ya da web sayfalarına gömülü JavaScript ("drive-by madenciliği"). En sık madenciliği yapılan kripto para, gizli ve CPU uyumlu yapısı nedeniyle Monero'dur. Belirtiler arasında yavaşlayan sistem performansı, aşırı ısınma, hızlı pil tükenmesi ve açıklanamayan CPU artışları sayılabilir.
Cryptojacking Nedir?
Cryptojacking; bir saldırganın, kurbanın bilgisayarını, telefonunu ya da sunucusunu rızası olmadan ele geçirip gizlice kripto madenciliği yapmak için kullandığı siber saldırı yöntemidir. Saldırgan, pahalı donanım ve elektrik faturasını üstlenmek yerine bu maliyeti farkında olmayan kurbanın omuzlarına yükler. Enfekte cihaz yüzeysel olarak normal çalışmaya devam eder; ancak arka planda gizli bir komut dosyası, işlemci gücünü tüketerek başkası adına kripto para üretir. Doğrudan para çalınmaz; bunun yerine donanımınız, elektriğiniz ve pil ömrünüz sessiz sedasız tüketilir. Bu yönüyle cryptojacking, rug pull gibi ani ve dramatik saldırıların aksine sinsi bir tehdit olarak öne çıkar.
Saldırganlar Neden Cryptojacking'i Tercih Eder?
Cryptojacking'in saldırganlar açısından en büyük cazibesi, düşük riskli ve kendini finanse eden bir yapıya sahip olmasıdır. Kurbanı şifresini vermeye ikna etmek ya da imza atmaya yönlendirmek gerekmez; script yalnızca çalışmaya başlar ve para akmaya devam eder.
En sık madenciliği yapılan kripto para birimi, gizlilik odaklı bir coin olan Monero'dur. Bunun birkaç pratik nedeni vardır:
- İzlenebilirlik: Monero'nun şieffaflıktan yoksun işlem yapısı, gelir izini neredeyse tamamen siliyor.
- CPU verimliliği: Monero'nun kullandığı RandomX algoritması, sıradan işlemci (CPU) ile verimli madencilik yapılmasına olanak tanıyor. Bu sayede binlerce ortalama dizüstü bilgisayardan oluşan bir botnet, gerçek anlamda gelir üretiyor.
- Karşılaştırma: Bitcoin madenciliği ise özel donanım (ASIC) olmadan kârlı olmaktan çıkmış durumda. Bu nedenle saldırganlar BTC yerine XMR tercih ediyor.
Cryptojacking Nasıl Çalışır? İki Temel Yöntem
Cihazlarınıza iki farklı yoldan sızabilir ve her iki yol da farklı bir tehdit profili oluşturur:
| Özellik | Dosya Tabanlı (Kalıcı) | Tarayıcı Tabanlı (Drive-by) |
|---|---|---|
| Giriş noktası | Zararlı indirme, kimlik avı eki, sahte uygulama | Web sayfasına veya reklama gömülü JavaScript |
| Kalıcılık | Yeniden başlatmadan sonra da devam eder | Sekme kapanınca durur |
| Yayılma | Ağdaki diğer cihazlara sıçrayabilir | Yalnızca o sayfayı ziyaret edenler etkilenir |
| Tespit | Antivirüs / Görev Yöneticisi | Sekme kapatılınca CPU kullanımının düşmesi |
| En savunmasız | Boşta kalan masaüstleri, şarjda bekleyen telefonlar, sunucular | O siteyi ziyaret eden herkes |
Dosya tabanlı cryptojacking, genellikle kimlik avı e-postasındaki bir ek, crack'li yazılım veya sahte bir "reklamsız" uygulama üzerinden sisteme girer. Bir kez yüklendikten sonra yeniden başlatmalardan etkilenmez; hatta aynı ağdaki diğer cihazlara yayılarak temizleme maliyetini ciddi ölçüde artırabilir.
Tarayıcı tabanlı cryptojacking ise bir web sitesine veya kötü amaçlı reklama doğrudan script olarak yerleştirilir. Sekme açık kaldığı sürece madencilik devam eder, sekme kapanınca durur; bu yüzden fark edilmesi son derece güçtür.
Kısa Bir Tarihsel Perspektif
Cryptojacking suç olarak başlamadı. Eylül 2017'de Coinhive adlı bir servis, web sitelerinin ziyaretçilerin CPU'sunu kullanarak Monero madenciliği yapmasına olanak tanıyan bir kod parçası yayımladı; bu, banner reklamlara alternatif "dürüst" bir gelir modeli olarak sunuldu. Sorun, rızadan kaynaklandı: Kopyacılar onay iletişim kutusunu kaldırdı ve 2018'e gelindiğinde yaklaşık 32.000 web sitesi, kullanıcıları bilgilendirmeksizin bu madenci scripti çalıştırıyordu. Coinhive 2019'da kapandı; ancak teknik çoktan evrilmişti.
- 2018 — Yönlendirici tabanlı: CVE-2018-14847 açığı üzerinden yaklaşık 200.000 MikroTik yönlendiricisi ele geçirildi; bu yönlendiricilerin arkasındaki tüm cihazların web trafiğine madenci kodu eklendi. Tek bir site yerine ağın kaynağını hedef almak, saldırının kapsamını dramatik biçimde genişletti.
- 2020'den günümüze — Botnet tabanlı: Glupteba botneti, Windows bilgisayarlara sessizce madenci yükler, oturum çerezlerini çalar ve tahminlere göre bir milyondan fazla makineye bulaşmış durumdadır. Bu botnetin dikkat çeken özelliği, direncidir: Komuta sunucusu çevrimdışı olsa bile Glupteba, blockchain üzerindeki Bitcoin işlemlerinin OP_RETURN alanına gizlenmiş talimatları okuyarak yeni bir sunucu adresiyle kendini yeniden canlandırabilir.
Gerçek Maliyeti: Sayısal Bir Örnek
Cryptojacking'in vereceği zarar tek bir coin'den ibaret değildir; asıl kayıp, binlerce cihaz üzerindeki elektrik tüketimi ve donanım yıpranmasından kaynaklanır.
Senaryo: Bir botnet, her biri günün 12 saati 60 watt fazladan güç tüketen 1.000 dizüstü bilgisayarı ele geçirdi.
| Hesaplama | Değer |
|---|---|
| Cihaz başı günlük ek enerji | 60 W × 12 sa = 0,72 kWh |
| 1.000 cihazda toplam | 720 kWh / gün |
| Elektrik birim fiyatı (0,20 $/kWh) | 144 $ / gün |
| Yıllık toplam | yaklaşık 52.500 $ |
Bu faturanın tamamı kurbanlar tarafından ödenir. Saldırgan için madenciliğin getirisi ise neredeyse saf kârdır. Üstelik sürekli termal stres altında çalışan cihazların ömrü kısalır; sunucularda ve bulut altyapısında artan işlem maliyetleri de tabloya eklenir. İşte cryptojacking'in ekonomik mantığı bu asimetriye dayanır.
Belirtiler: Cihazınız Ele Geçirildi mi?
Modern cryptojacking scriptleri, dikkatinizi dağıtmamak için cihaz boşta ya da şarjda olduğunda devreye girecek şekilde tasarlanmıştır. Yine de belirtiler birikir:
- Performans düşüşü: Aniden yavaşlayan sistem, sık sık donmalar veya bir gecede yaşlanan bir dizüstü bilgisayar hissi.
- Aşırı ısınma: Cihaz dinlenirken bile sürekli dönen fanlar, dokunulduğunda ısınan kasalar ya da kilitli ve şarjdayken ısınan bir telefon.
- Boşta yüksek CPU kullanımı: Görev Yöneticisi'ni (Windows) veya Etkinlik Monitörü'nü (macOS) açın; hiçbir şey yapmıyorken görünen açıklanamayan bir CPU tüketimi kırmızı bayraktır.
- Yavaş şarj: Prize takılı bir telefonun normalden belirgin şekilde daha uzun sürede dolması, arka planda bir şeylerin pili çektiğine işaret edebilir.
- Tarayıcıda anlık test: Tarayıcıda yüksek CPU kullanımı fark ediyorsanız, söz konusu sekmeyi kapatın. Kullanım anında düşüyorsa tarayıcı tabanlı bir saldırı olduğundan şüphelenebilirsiniz.
Daha derin risk: Cryptojacking, kaynaklara yoğun biçimde el koyan ve kesintisiz çalışan bir operasyondur. Sunucu ve bulut altyapısında şişirilmiş hesaplar ve fark edilmeden yerleşen bir dayanak noktası, çok daha kapsamlı bir saldırının habercisi olabilir.
Tespit ve Temizleme: Adım Adım
Enfeksiyon şüpheniz varsa şu adımları sırasıyla uygulayın:
- Tam antivirüs taraması yapın. Microsoft Defender gibi güvenilir bir araç kullanın; ardından sistem dosyası olarak gizlenmiş truva atlarını yakalamak için çevrimdışı tarama başlatın.
- Güvenli Mod'a geçin. Windows'ta Win+R tuşlarına basın, `msconfig` yazın, Güvenli Önyükleme'yi etkinleştirin ve yeniden başlatın; böylece şüpheli programlar müdahale edemez.
- Bilinmeyen programları kaldırın. Denetim Masası'ndan tanımadığınız uygulamaları silin ve geçici dosyaları temizleyin (`%temp%` aratın, tümünü seçin, silin).
- Tarayıcınızı sıfırlayın. Kötü amaçlı uzantıları ve enjekte edilmiş scriptleri temizlemek için tarayıcı ayarlarını varsayılana döndürün.
- Normal Moda dönün. `msconfig`'den Güvenli Önyüklemeyi devre dışı bırakıp yeniden başlatın, ardından sistemin temiz olduğunu doğrulamak için tekrar tarayın.
Ele geçirilmiş bir web sitesi için HTML'yi yabancı madenci scriptlerine karşı elle inceleyin veya bir web sitesi tarayıcısıyla kötü amaçlı kodları tespit edin.
Korunma Yolları
Kripto dolandırıcılıklarına karşı korunma için uygulanan güvenlik alışkanlıklarının büyük çoğunluğu, cryptojacking'i önlemek için de işe yarar:
- Şüpheli linklere tıklamayın. Ek içeren e-postaları açmadan önce göndericiyi ve bağlantıyı doğrulayın; nadir NFT basımı veya "ücretsiz" fırsatlar sunan talep edilmemiş DM'leri görmezden gelin.
- Reklam engelleyici kullanın. Kötü amaçlı reklamlara gizlenmiş madenci scriptleri, reklam engelleyicilerin veya gizlilik odaklı tarayıcıların hedef kitlesinde yer alır.
- Antivirüs ve işletim sisteminizi güncel tutun. MikroTik açığı gibi bilinen güvenlik açıklarının yamalanmış kalması kritik önem taşır.
- Güvenilmeyen sitelerde JavaScript'i devre dışı bırakmayı değerlendirin. Etkili bir yöntemdir; ancak meşru site işlevlerini de etkileyebilir.
- Cüzdanınızı nasıl koruyorsanız cihazınızı da öyle koruyun. Yazılım güncellemeleri, kaynak doğrulama ve anormallik takibi — tüm bu alışkanlıklar donanımınızın gizlice başkasının madenciliğine koşturulmasına karşı en güçlü savunmanızı oluşturur.
COINOTAG Perspektifi
Cryptojacking'i yalnızca teknik bir zararlı yazılım sorunu olarak değerlendirmek eksik bir bakış açısı olur. Bu saldırı türü, kripto ekonomisinin temel bir gerçeğini yansıtıyor: İşlem gücünün doğrudan parasal değer taşıdığı her yerde, biri onu çalmaya çalışacak.
2017'deki şeffaf Coinhive widget'ından bugünün blockchain tabanlı Glupteba botnetine uzanan evrim, saldırganların hızla profesyonelleştiğini ortaya koyuyor. Güvenlik araştırmacıları, yeterli ölçeğe ulaşan boşta madencilik botnetlerinin bir gün fidye yazılımı veya DDoS operasyonlarına dönüşebileceği konusunda uyarıyor.
Kripto güvenliğini sağlama konusundaki alışkanlıklarınız — yazılım güncellemesi, kaynak doğrulama, anormallik takibi — donanımınızı korumak için de birebir geçerlidir. Ve konu madenciliğin meşru boyutuna gelince, Monero madenciliği rehberimiz bu saldırganların istismar ettiği mekanizmayı daha iyi anlamanızı sağlayacak bir sonraki adım niteliğindedir.