Güvenlik·
11 Nisan 2026
Her yıl milyonlarca kişi ve kurum, meşru bir kaynaktan geliyormuş gibi görünen sahte e-postalar aracılığıyla kimlik bilgilerini, finansal verilerini ve kurumsal sırlarını kaptırıyor. Oltalama (phishing) saldırıları; teknik açıdan gelişmiş olmayan, ancak sosyal mühendislik gücüyle son derece etkili bir siber tehdit biçimidir. Bu rehber, size bir e-postanın gerçek mi yoksa tuzak mı olduğunu adım adım nasıl anlayacağınızı açıklıyor.
Oltalama (İngilizce: phishing), siber saldırganların meşru bir kuruluş, banka, kamu kurumu veya tanıdık kişi kılığına bürünerek hedeften hassas bilgi çalmayı ya da zararlı yazılım yüklemeyi amaçladığı bir sosyal mühendislik tekniğidir. "Phishing" terimi, balık avlamayı simgeler: saldırgan yem (sahte e-posta) atar, hedef yemi yutarsa oltaya düşmüş olur.
Teknik altyapı açısından phishing e-postaları çoğunlukla gerçek posta sunucularından farklı, ancak adına benzer alan adlarından gönderilir. Örneğin @garanti.com.tr yerine @garanti-guvenlik.net ya da Punycode kullanılarak oluşturulan görsel olarak özdeş Latin harfleri içeren alan adları (Homograf saldırısı) tercih edilir. IETF'nin RFC 5321 (SMTP) ve RFC 7208 (SPF) standartları, gönderen doğrulamasını mümkün kılmak için tasarlanmış olsa da yanlış yapılandırılmış ya da hiç yapılandırılmamış alan adları bu korumaları işlevsiz bırakır.
Phishing saldırılarının alt türleri şunlardır:
Aşağıdaki tablo, gerçek bir kurumsal e-posta ile tipik bir phishing e-postasını ayırt etmenin pratik yollarını özetlemektedir.
| Kontrol Noktası | Meşru E-Posta | Phishing E-Postası |
|---|---|---|
| Gönderen Alan Adı | Kurumun resmi alan adı (@banka.com.tr) |
Benzer ama farklı alan adı (@banka-guvenlik.net, @banka.com.tr.destek.biz) |
| Bağlantı URL'si | Hover'da gerçek alan adı görünür; HTTPS sertifikası kuruma aittir | Kısa URL, yanlış alan adı veya IP adresi (http://192.168.x.x/login) |
| Dil ve Yazım | Tutarlı, hatasız kurumsal Türkçe | Makine çevirisi izlenimi, yazım hataları, garip karakter kullanımı |
| Aciliyet / Baskı | Standart bildirim, acele ettirme yok | "Hesabınız 24 saat içinde kapatılacak!", "Hemen tıklayın!" |
| Kişiselleştirme | Adınız ve müşteri numaranız doğru | "Değerli Müşterimiz" gibi genel hitap |
| İstenilen Eylem | Gerekirse yönlendirme, asla doğrudan şifre istenmez | Şifre, TC kimlik, kart numarası gibi hassas veri talebi |
| Ekler | PDF fatura, imzalı belge; nadir durumlarda | .exe, .zip, makro içeren .docm dosyaları |
| SPF/DKIM/DMARC Kaydı | E-posta istemcisi "doğrulandı" etiketini gösterir | Kayıt yok veya başarısız; istemci uyarı verir |
E-posta zarfında iki farklı "gönderen" alanı bulunur: MAIL FROM (zarf göndereni, teknik olarak Return-Path) ve From: başlığı (ekranda gösterilen). Phishing saldırıları genellikle bu ikisini birbirinden ayırır; ekranda güvenilir bir adres gösterilirken gerçek posta sunucusu bambaşka bir alan adından gönderir. RFC 5322, From: alanının gösterim biçimini tanımlar ancak içeriğini kısıtlamaz; bu yüzden doğrulama mekanizmaları kritiktir:
E-posta istemcinizde "Orijinal İletiyi Göster" veya "Ham Kaynağı Görüntüle" seçeneğiyle bu başlıkları kendiniz inceleyebilirsiniz. Authentication-Results: satırında spf=pass, dkim=pass ve dmarc=pass görüyorsanız e-posta olduğunu iddia ettiği sunucudan gelmiştir; aksi durumlar şüphe uyandırmalıdır.
Phishing e-postalarındaki bağlantılar, ilk bakışta gerçekmiş gibi görünecek biçimde tasarlanır. Saldırganların kullandığı başlıca teknikler şunlardır:
giris.banka.com.tr.hesap-dogrula.xyz adresinde gerçek alan adı .xyz'deki son parçadır; banka.com.tr yalnızca bir alt alan adı görüntüsü oluşturur.bit.ly veya tinyurl.com gibi hizmetlerle gerçek hedef gizlenir. Tıklamadan önce kısaltılmış URL'nin hedefini checkshorturl.com gibi araçlarla kontrol edebilirsiniz.xn-- ön eki) fark edilebilir.Pratik kural: Bağlantıya tıklamadan fareyi üzerinde tutun (hover edin) ve tarayıcı durum çubuğunda gerçek hedefi okuyun. Mobil cihazlarda bağlantıya uzun basarak "URL'yi kopyala" ile adresi inceleyebilirsiniz.
Türkiye'de phishing saldırıları birden fazla mevzuat kapsamında suç teşkil eder:
Kurumsal tarafta ise 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (ETK), ticari elektronik ileti gönderiminde onay zorunluluğunu ve gönderen kimliğinin açıkça belirtilmesini şart koşar. Meşru işletmeler bu kurallara uymak zorunda olduğundan, kurumsal görünümlü bir e-posta bu zorunlulukları yerine getirmiyorsa şüpheyle yaklaşılmalıdır.
Bireysel farkındalığın ötesinde, kurumların altyapısal önlemler alması saldırı yüzeyini önemli ölçüde daraltır:
p=reject düzeyine taşıyın.Gönderen alan adını (@ işaretinden sonraki kısım) dikkatlice okuyun, bağlantıların üzerine fareyle gelin ve e-postanın sizden şifre, kart numarası veya TC kimlik numarası isteyip istemediğini kontrol edin. Bu üç adımın birinde uyumsuzluk varsa e-posta phishing olabilir.
HTTPS yalnızca bağlantının şifrelendiğini gösterir; sitenin meşru olduğunu kanıtlamaz. Saldırganlar ücretsiz TLS sertifikası (örneğin Let's Encrypt) alarak sahte sitelerini de HTTPS ile sunabilir. Kilit simgesine değil, adres çubuğundaki tam alan adına odaklanın.
Salt metin biçimindeki (plain text) bir e-postayı açmak genellikle tehlikeli değildir. Ancak HTML e-postalarda "tracking pixel" gibi uzak içerikler yüklendiğinde saldırgan e-postanın açıldığını öğrenebilir. Daha büyük risk; e-posta içindeki bağlantılara tıklamak veya ekleri açmaktır.
Herhangi bir bilgi girmediyseniz tarayıcıyı kapatın ve cihazınızı güncel bir antivirüs yazılımıyla tarayın. Bilgi girdiyseniz ilgili kurumu (banka, e-posta sağlayıcısı vb.) derhal arayarak parolanızı değiştirin ve hesabınızı dondurun. Kurumsal bir sistemdeyseniz BT güvenlik ekibinizi hemen bilgilendirin.
Bu kayıtlar kendi alan adınızın kötüye kullanılmasını önemli ölçüde kısıtlar; ancak saldırganlar benzer alan adları satın alarak aynı aldatmacayı sürdürebilir. Bu nedenle teknik önlemler tek başına yetmez; çalışan eğitimi ve sürekli izleme de gereklidir.
Siber Suçlarla Mücadele Dairesi Başkanlığı'na egm.gov.tr/siber üzerinden ya da savcılığa başvurabilirsiniz. Ayrıca phishing sitesini BTK'nın ihbarweb.org.tr adresine bildirebilirsiniz. Finansal bir kayıp yaşandıysa bankanızı ve BDDK'yı da bilgilendirin.
En etkili yöntem, simüle phishing tatbikatlarıdır: çalışanlara habersizce sahte phishing e-postaları gönderilir; tıklayanlar otomatik olarak kısa bir farkındalık eğitimine yönlendirilir. Bu döngü periyodik olarak tekrarlandığında tıklama oranlarının zaman içinde belirgin biçimde düştüğü gözlemlenmektedir.
Mobil e-posta istemcileri genellikle tam URL'yi göstermez ve hover işlemi yapılamaz; bu durum bağlantı doğrulamayı zorlaştırır. Öte yandan smishing (SMS phishing) de mobil platformlara özgü bir tehdit oluşturur. Mobilde şüpheli bağlantılara uzun basarak gerçek adresi kontrol etme alışkanlığı edinin.
Geleneksel SMS veya OTP tabanlı 2FA, "gerçek zamanlı" (real-time) phishing saldırılarına karşı sınırlı koruma sağlar; saldırgan kurbanı sahte siteye yönlendirerek OTP'yi anında gerçek siteye iletebilir. FIDO2/WebAuthn standardına dayalı fiziksel güvenlik anahtarları (hardware security key) ise kimlik avına karşı çok daha güçlü bir koruma sunar çünkü kimlik doğrulama yalnızca orijinal alan adında geçerlidir.
Alan adınız için SPF ve DKIM kayıtlarını DNS'e ekleyin; ardından DMARC politikasını p=quarantine veya p=reject olarak ayarlayın. E-postalarınızda kurumsal imza kullanın, aciliyet içeren dil ve şifre talebi gibi unsurlardan kaçının. 6563 sayılı ETK kapsamında ticari iletilerde açık gönderici kimliği ve vazgeçme (opt-out) bağlantısı zorunludur.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.