Giriş: Neden adres doğrulama önemlidir?

Bir platformun resmi adresi değiştiğinde kullanıcılar için en büyük riskler kimlik avı (phishing) ve taklit siteleridir. Resmi adres doğrulaması, hesabınızın ve kişisel bilgilerinizin korunmasına yardımcı olur. Bu yazıda "Stake yeni adresi" başlığında karşılaşabileceğiniz senaryolarda hangi adımları atmanız gerektiğini, hangi teknik ve pratik kontrolleri yapacağınızı adım adım anlatıyorum.

Hızlı güvenlik kontrol listesi (2–5 dakika)

  • Resmi kanallarda (doğrulanmış sosyal hesaplar, e-posta bülteni) doğrudan duyuru var mı kontrol edin.
  • Tarayıcıda kilit simgesine bakın; site HTTPS ile açılıyor mu?
  • Alan adında yazım hatası veya fazladan karakter var mı gözden geçirin (typosquatting).
  • Bilinen ve sakladığınız destek e-posta/iletişim bilgilerinden teyit alın.
  • Şüphe durumunda bağlantıya tıklamayın; doğrudan tarayıcıya adres yazın veya yer imlerini kullanın.

Adım adım doğrulama rehberi

1. Resmi duyuruları doğrulayın

Öncelikle platformun daha önce kullandığınız ve doğruluğuna güvendiğiniz kanallarını kontrol edin: doğrulanmış sosyal medya hesapları, daha önce bağlantı aldığınız resmi e-posta bültenleri veya platform içi bildirimler. Yeni adres duyurusu bu kanallardan birinde paylaşıldıysa, duyurunun tarihine, paylaşıldığı hesaba ve duyurunun içeriğine dikkat edin. Daha önce kaydettiğiniz hesap isimleri ile yeni duyuruyu karşılaştırmak yardımcı olur.

2. Tarayıcı güvenliği: HTTPS ve sertifika detaylarını inceleyin

Adres çubuğundaki kilit simgesine tıklayarak sertifika bilgilerini görüntüleyin. Aşağıdakileri kontrol edin:

  • Sertifika sahibinin gösterilen etki alanıyla (domain) eşleşip eşleşmediği.
  • Sertifikayı veren yetkili kuruluş (CA) ve sertifika geçerlilik tarihleri.
  • Subject Alternative Names (SAN) içinde adresin yer alıp almadığı.

Bir sertifika geçerli görünse bile tek başına yeterli delil olmayabilir; ancak kilit yoksa, sertifika hatası veriyorsa veya alan adı sertifikada geçmiyorsa bu ciddi bir uyarıdır.

3. WHOIS ve domain geçmişini kontrol edin

WHOIS kayıtları alan adının kim tarafından ve ne zaman kaydedildiği hakkında bilgi verir. "whois" komutu veya çevrimiçi WHOIS araçlarıyla aşağıdaki bilgileri arayın:

  • Kayıt tarihi ve son yenileme tarihi (yeni kayıtlar risk oluşturabilir).
  • Kayıt yapan kuruluş/registrar ve varsa gizlilik (privacy/proxy) kullanımı.

Gizlilik koruması kullanılması otomatik olarak kötü niyet göstergesi değildir, ancak yeni kaydedilmiş ve gizlenmiş kayıtlar dikkat gerektirir.

4. DNS ve IP adresi kontrolleri

DNS kayıtlarını (A, AAAA, CNAME, MX) kontrol etmek sunucunun nerede barındırıldığını ve daha önce bilinen adreslerle karşılaştırma yapmanızı sağlar. "dig" veya "nslookup" gibi araçlar kısa bilgi almak için uygundur. Örnek kullanım (yer tutucu):

  • dig +short ornek-domain.com

Aynı marka için daha önce kullanılan IP aralıklarıyla ciddi farklılıklar varsa bu ek doğrulama gerektirebilir.

5. İletişim kanallarını ve imzalı duyuruları kontrol edin

Resmi duyuruların geldiği e-posta adresi daha önce gördüğünüz adresle eşleşiyor mu kontrol edin. Bazı kuruluşlar duyuruları PGP/GPG gibi araçlarla imzalar; böyle bir imza varsa doğrulamak ilave güven sağlar. Eğer destek hattı veya telefon numarası paylaşılmışsa bunların daha önce kayıtlı olanlarla eşleşip eşleşmediğini teyit edin.

6. Üçüncü taraf doğrulamaları ve güvenilir kaynaklar

Bağımsız, tanınmış haber siteleri veya sektörde bilinen güvenlik forumları yeni adresle ilgili resmi teyit yayımlayabilir. Büyük haber kaynakları veya güvenlik topluluklarının teyitleri, sadece sosyal medya duyurularına göre daha yüksek güvenilirlik sağlar. Ancak her kaynağı eleştirel gözle değerlendirin.

7. Mobil uygulama ve mağaza doğrulaması

Eğer uygulama üzerinden adres bildirimi yapıldıysa, mağaza sayfasındaki geliştirici adı ve paket kimliği ile daha önce doğruladıklarınızı karşılaştırın. Resmi uygulama dışında yüklediğiniz uygulamalar veya üçüncü taraf APK'lar risk taşıyabilir; mağaza içindeki geliştirici bilgileri tutarlı değilse dikkatli olun.

8. Ek teknik kontroller

Domain için VirusTotal veya benzeri araçlarla hızlı tarama yapılabilir; bu, sitenin bilinen kötü niyetli veri tabanlarında görülüp görülmediğini hızlıca gösterir. Ayrıca Certificate Transparency (CT) logları üzerinden sertifika geçmişini sorgulamak, sertifikaların ne zaman yayınlandığı hakkında bilgi verebilir.

9. Şüpheli durumda atılacak adımlar

  • Bağlantıya tıklamayın; doğrudan tarayıcıya adres yazın veya yer imlerinizi kullanın.
  • Hesap bilgilerinizi veya ödeme bilgilerinizi girmeyin.
  • Durumu belgelemek için ekran görüntüsü alın ve resmi destek kanallarına daha önce doğruladığınız adreslerden ulaşın.
  • Gerekirse parolalarınızı değiştirin ve iki faktörlü doğrulamayı (2FA) kontrol edin.

10. Yaygın kırmızı bayraklar

  • Adres çubuğunda kilit simgesi yok veya tarayıcı güvenlik uyarısı veriyor.
  • Domain adı hafifçe farklı (harf eklenmiş/çıkarılmış, yanlış karakter kullanımı).
  • WHOIS yeni kayıt gösteriyor veya kayıt sahibi belirsiz.
  • Resmi kanallardan teyit alınamıyor veya duyuru yalnızca yeni/şüpheli hesaplarda paylaşıldı.
  • Destek e-postası beklediğiniz domain yerine farklı bir alan adı kullanıyor.

Yazdırılabilir kontrol listesi

  • Resmi duyuru: doğrulanmış sosyal/posta listesi kontrol edildi.
  • HTTPS/sertifika: kilit simgesi ve sertifika detayları incelendi.
  • WHOIS: kayıt tarihi ve registrar kontrol edildi.
  • DNS/IP: sunucu kayıtları karşılaştırıldı.
  • İletişim: destek e-posta/telefon daha önce bilinenlerle eşleşiyor.
  • Üçüncü taraf: haberler ve güvenlik forumları tarandı.
  • Şüpheli: hareket etmeme ve belgeleyip resmi kanaldan teyit alma kararı alındı.

Sonuç

Adres değişiklikleri kullanıcılar için güvenlik riski oluşturabilir; bu nedenle sistematik bir doğrulama süreci izlemek önemlidir. Yukarıdaki adımları izleyerek yeni bir adrese aktarımın gerçekten resmi olup olmadığını değerlendirmeniz daha kolay olur. Şüphe duyduğunuz her durumda önce belgeleyin ve daha önce doğruladığınız resmi kanallardan teyit alana kadar kişisel veya finansal bilgi paylaşmayın.