Güvenlik·
9 Nisan 2026
Bir sabah ofise geliyorsunuz ve IT departmanından acil bir uyarı geliyor: şirketinizin kurumsal e-posta hesaplarından biri ele geçirilmiş, saldırgan müşterilere sahte faturalar göndermiş. Bu senaryo dünyada her gün yaşanmaktadır. Kurumsal e-posta güvenliği ihlalleri (İngilizce'de Business Email Compromise, kısaca BEC) yalnızca veri kaybına değil; hukuki yükümlülüklere, KVKK cezalarına ve ciddi itibar hasarına da yol açar. Hesabınızın ele geçirildiğini fark ettiğiniz an ne yapmanız gerektiğini adım adım bilmek, zararı en aza indirmenin tek güvenilir yoludur.
Kurumsal e-posta hesaplarının ele geçirilmesi her zaman anlık bir alarm vermez. Saldırganlar çoğunlukla uzun süre sistemde sessizce bekler; gelen kutusu kurallarını değiştirir, belirli e-postaları gizli bir klasöre yönlendirir ya da müşteri yazışmalarını izler. Aşağıdaki belirtiler hesabın ihlal edildiğine işaret edebilir:
Microsoft 365 ve Google Workspace gibi platformlar, şüpheli oturum açma bildirimlerini e-posta veya SMS ile iletir. Bu bildirimlerin aktif tutulduğundan emin olmak, erken tespit açısından kritik önem taşır.
Bir güvenlik ihlalinde ilk saatler son derece belirleyicidir. Panik yerine aşağıdaki sıralı adımları izlemek, olayın boyutunu sınırlar ve yasal yükümlülüklerin karşılanması için gerekli kanıtları korur.
| Adım | Yapılacak İşlem | Sorumlu | Süre Hedefi |
|---|---|---|---|
| 1 | Hesabın şifresini sıfırla veya hesabı askıya al | IT Yöneticisi | 0–5 dakika |
| 2 | Tüm aktif oturumları zorla sonlandır (token revoke) | IT Yöneticisi | 0–10 dakika |
| 3 | Gelen kutusu kurallarını, yönlendirmeleri ve yetkili uygulamaları kontrol et | IT Yöneticisi | 10–20 dakika |
| 4 | Olayı IT güvenlik ekibine ve yöneticiye raporla | Hesap Sahibi | 0–15 dakika |
| 5 | Oturum açma loglarını dışa aktar ve sakla (kanıt zinciri) | IT Yöneticisi | 15–30 dakika |
| 6 | Etkilenen müşteri/iş ortaklarını alternatif kanaldan bilgilendir | İlgili Departman | 30–60 dakika |
| 7 | Hukuk birimi ve KVKK yükümlülüklerini değerlendir | Hukuk / DPO | 60 dakika içinde |
Microsoft 365 ortamında yönetici panelinde Azure Active Directory > Oturum Açma Günlükleri bölümünden kullanıcının tüm oturumları görüntülenebilir ve "Tüm Oturumları Sonlandır" komutu çalıştırılabilir. Google Workspace'te ise Admin Console üzerinden kullanıcı hesabına girip "Oturumu sıfırla" seçeneği kullanılır.
Saldırganın sisteme ne zaman girdiğini ve hangi verilere eriştiğini belirlemek, hem olay müdahalesinin hem de KVKK bildirimi değerlendirmesinin temelini oluşturur. Bu süreçte şu teknik adımlar uygulanır:
E-posta sunucusu veya bulut platformunun oturum açma günlükleri, hangi IP adresinden, hangi saatte giriş yapıldığını gösterir. Microsoft 365'te bu kayıtlar Unified Audit Log aracılığıyla, Google Workspace'te ise Admin Reports API ile çekilebilir. RFC 5321 (SMTP protokolü) ve RFC 5322 (İnternet mesaj biçimi) kapsamında e-posta başlıkları (headers), mesajın hangi sunucu üzerinden iletildiğini ortaya koyar — sahte gönderim tespitinde bu başlıklar kritik kanıt niteliği taşır.
Saldırganlar genellikle kalıcı erişim sağlamak için gizli yönlendirme kuralları oluşturur veya kötü amaçlı bir üçüncü taraf uygulamasına OAuth yetkisi verir. Şifre değiştirilse bile bu OAuth tokenları geçerliliğini koruyabilir. Bu nedenle yetkili uygulama listesinin gözden geçirilmesi ve bilinmeyen uygulamaların yetkisinin iptal edilmesi zorunludur.
Kurumsal e-posta hesabının ele geçirilmesi, kişisel veri işleme faaliyeti niteliğinde olduğundan ciddi yasal sonuçlar doğurabilir.
KVKK'nın 12. maddesi, veri sorumlusunun kişisel verilerin güvenliğini sağlamakla yükümlü olduğunu hükme bağlar. Aynı kanunun Veri İhlali Bildirim Yükümlülüğü çerçevesinde hazırlanan Kişisel Veri Güvenliği Rehberi (Kişisel Verileri Koruma Kurumu, 2018) uyarınca, ihlalden haberdar olan veri sorumlusunun 72 saat içinde Kişisel Verileri Koruma Kurumu'na (KVKK) bildirimde bulunması gerekmektedir. İhlalden etkilenen kişiler de gecikmeksizin bilgilendirilmelidir. KVKK ihlalleri, 2024 yılı itibariyle güncel idari para cezası tavanları kapsamında değerlendirilebilir; güncel limitler için Resmi Gazete'deki yeniden değerleme katsayılarının takip edilmesi gerekir.
Ele geçirilen hesaptan ticari elektronik ileti gönderilmişse 6563 sayılı ETK kapsamında sorumluluk gündeme gelebilir. Kanunun 3. maddesi, ticari elektronik iletilerin alıcının onayı olmaksızın gönderilemeyeceğini hükmeder. Saldırgan tarafından gönderilen iletiler, şirket adına yapılmış sayılabileceğinden BTK'ya şikayetlere ve idari yaptırımlara yol açabilir. Olayı ispatlayabilmek için teknik kanıtların korunması bu açıdan da önem taşır.
Türkiye'de yetkisiz bilgisayar sistemi erişimi, 5237 sayılı Türk Ceza Kanunu'nun 243. maddesi kapsamında suç teşkil eder. Şikayetin Cumhuriyet Başsavcılığı'na yapılması, aynı zamanda sigorta tazminatı taleplerinde ve olası iş davalarında gerekli olabilecek resmi bir kayıt oluşturur. Siber suç ihbarları için Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi'nin web portalı ve ALO 155 hattı kullanılabilir.
Acil müdahalenin ardından hesabın güvenli biçimde yeniden devreye alınması için aşağıdaki adımlar uygulanmalıdır:
Tek bir hesabın ele geçirilmesi, kurum genelinde e-posta altyapısının güvenlik olgunluğunu gözden geçirme fırsatı sunmalıdır.
SPF (Sender Policy Framework — RFC 7208), DKIM (DomainKeys Identified Mail — RFC 6376) ve DMARC (Domain-based Message Authentication, Reporting and Conformance — RFC 7489) protokollerinin doğru yapılandırılması, alan adınız üzerinden sahte e-posta gönderilmesini teknik olarak engeller. DMARC politikasının p=reject moduna alınması, saldırganların şirket alan adını taklit etmesini önleyen en etkili tedbirdir.
İnsan faktörü, e-posta güvenliği ihlallerinin başlıca nedeni olmaya devam etmektedir. Kimlik avı (phishing) simülasyonu ve periyodik güvenlik eğitimleri, çalışanların şüpheli e-postaları tanımlama becerisini geliştirir. Bu eğitimler yılda en az iki kez tekrarlanmalı ve yeni saldırı tekniklerini kapsamalıdır.
Yönetici yetkisine sahip hesaplar için ayrı bir kimlik doğrulama politikası uygulanmalıdır. Günlük işler için yönetici hesabı kullanmak yerine en az yetki ilkesi (principle of least privilege) benimsenmelidir. Microsoft 365'te Privileged Identity Management (PIM), Google Workspace'te ise süper yönetici hesaplarına uygulanan Context-Aware Access politikaları bu amaçla kullanılabilir.
Gönderilen öğeler klasöründe yazmadığınız mesajlar, bilinmeyen oturum açma bildirimleri, değiştirilmiş gelen kutusu kuralları veya müşterilerden gelen "garip e-posta" uyarıları en güçlü belirtilerdir. Microsoft 365 ve Google Workspace yönetici panelinden oturum açma loglarını inceleyerek kesin doğrulama yapabilirsiniz.
Her zaman değil. Saldırganın OAuth üzerinden yetkili bir uygulama kurmuşsa veya aktif bir oturumu varsa, şifre değişikliği bu erişimi engellemeyebilir. Bu nedenle şifre sıfırlama ile birlikte tüm aktif oturumların zorla sonlandırılması ve OAuth yetkilerinin gözden geçirilmesi zorunludur.
Ele geçirilen e-posta hesabında kişisel veri (müşteri adı, iletişim bilgisi, finansal bilgi vb.) bulunuyorsa, KVKK'nın 12. maddesi ve Kurul'un veri ihlali bildirimi rehberi uyarınca ihlali öğrendiğiniz andan itibaren 72 saat içinde Kişisel Verileri Koruma Kurumu'na bildirimde bulunmanız gerekir.
Bu durum hukuki değerlendirme gerektirir. Üçüncü tarafların zararına yol açan sahte iletiler için şirket sorumluluğu doğabilir. Olayı derhal belgelemeniz, teknik kanıtları korumanız ve hukuk danışmanınıza başvurmanız önerilir. Saldırıyı ispat eden teknik kanıtlar, sorumluluğun sınırlandırılmasına yardımcı olabilir.
Siber sigorta poliçeniz varsa, poliçe şartlarını kontrol edin. Pek çok siber sigorta, ihlali belirli süre içinde (genellikle 24–72 saat) bildirmeyi tazminat ödenmesinin ön koşulu olarak şart koşar. Bildirimi geciktirmek tazminat hakkını tamamen ortadan kaldırabilir.
Öncelikle müşterileri alternatif bir iletişim kanalıyla (telefon veya doğrulanmış farklı bir e-posta adresi) bilgilendirin. Gönderilen e-postalardaki bağlantılara tıklamamalarını ve ekleri açmamalarını isteyin. Aynı zamanda hukuk ekibinizle olası tazminat taleplerini değerlendirin.
MFA, yetkisiz erişim riskini önemli ölçüde azaltır; ancak SIM takası (SIM swap) saldırıları SMS tabanlı MFA'yı aşabilir. En yüksek güvenlik için FIDO2 standardına uygun fiziksel güvenlik anahtarı (örneğin YubiKey) veya uygulama tabanlı TOTP kullanılması önerilir.
Doğrudan bir BTK bildirimi yükümlülüğü yoktur; ancak ETK kapsamındaki ticari ileti ihlalleri BTK'ya şikayet konusu olabilir. Siber suç boyutu için Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi'ne başvurulması ve savcılığa suç duyurusunda bulunulması uygun olacaktır.
Sınırlı IT kaynağıyla en yüksek güvenlik etkisini elde etmek için ilk yapılması gereken, tüm çalışanlar için çok faktörlü kimlik doğrulamayı (MFA) etkinleştirmektir. Bunu DMARC/SPF/DKIM yapılandırması ve düzenli phishing farkındalık eğitimi izlemelidir.
Temel bir olay müdahale planı belgelemek için harici danışmanlık gerekmez. NIST SP 800-61 Revizyon 2 rehberi ücretsiz olarak erişilebilir ve küçük/orta ölçekli işletmeler için pratik bir çerçeve sunar. Planın yılda en az bir kez masa üstü tatbikatla test edilmesi önerilir.
Reklamsız, KVKK uyumlu; kurulum ve geçiş ücretsiz, mailleri biz taşırız.