Güvenlik & SSL

    Oltalama (Phishing) Saldırısı Nedir ve Nasıl Korunulur?

    Oltalama saldırısının türlerini, sahte e-postaları tanıma yöntemlerini ve bireylerle işletmeler için pratik korunma adımlarını örneklerle öğrenin.

    10 dk okuma Güncellendi: 9 Temmuz 2026

    En güçlü güvenlik duvarı, en karmaşık parola ve en güncel yazılım bile tek bir şeye karşı çaresiz kalabilir: kullanıcının kendi eliyle kapıyı açması. Oltalama, yani phishing, tam olarak bunu hedefler. Saldırgan sistemi kırmaya çalışmak yerine sizi kandırarak kimlik bilgilerinizi, parolanızı ya da kart numaranızı gönüllü olarak vermeniz için manipüle eder. Bu yüzden phishing, teknik bir zafiyetten çok bir psikoloji ve güven istismarı saldırısıdır.

    İstatistikler, siber saldırıların büyük çoğunluğunun bir oltalama e-postasıyla başladığını gösteriyor. Sahte bir banka bildirimi, "hesabınız askıya alındı" uyarısı, bekleyen bir kargo ya da yenilenmesi gereken bir hosting faturası... Hepsi sizi aceleyle bir bağlantıya tıklamaya ve bilgilerinizi girmeye ikna etmek için tasarlanır. Bu rehberde phishing'in ne olduğunu, hangi türlere ayrıldığını, sahte mesajları nasıl tanıyacağınızı, gerçek örnek senaryoları ve hem bireyler hem de işletmeler için etkili korunma yöntemlerini ele alacağız.

    Phishing Nedir ve Amacı Nedir?#

    Phishing (oltalama), saldırganın kendisini güvenilir bir kurum ya da kişi gibi göstererek kurbanı hassas bilgilerini paylaşmaya veya zararlı bir eylemi gerçekleştirmeye ikna ettiği bir sosyal mühendislik saldırısıdır. İsmi İngilizce "fishing" (balık avı) kelimesinden gelir: saldırgan bir yem atar ve birinin oltaya takılmasını bekler.

    Bir oltalama saldırısının tipik amaçları şunlardır:

    • Kimlik bilgisi çalmak: Kullanıcı adı ve parolaları ele geçirerek e-posta, banka, sosyal medya veya sunucu paneli hesaplarına erişmek.
    • Finansal bilgi elde etmek: Kredi kartı numarası, CVV, banka hesap bilgileri toplamak.
    • Zararlı yazılım bulaştırmak: Ekteki bir dosya ya da bağlantı aracılığıyla cihaza fidye yazılımı veya casus yazılım yerleştirmek.
    • Kurumsal ağa sızmak: Bir çalışanı kandırarak şirketin iç sistemlerine giriş noktası elde etmek.

    Phishing'in en tehlikeli yanı, teknik değil insani zafiyeti hedeflemesidir. Saldırgan aciliyet, korku, merak ya da otorite gibi duyguları kullanarak mantıklı düşünmenizi engellemeye çalışır. "Hesabınız 24 saat içinde kapatılacak" gibi bir uyarı, sizi durup düşünmeden harekete geçmeye iter — ki dolandırıcının istediği tam da budur.

    Phishing Saldırısının Türleri#

    Oltalama tek bir biçimde gelmez; hedefe ve kanala göre çeşitlenir. Başlıca türleri tanımak, karşılaştığınızda tanımanızı kolaylaştırır:

    • E-posta phishing: En yaygın türdür. Toplu gönderilen sahte e-postalarla geniş bir kitleye yem atılır. Genellikle bir bankayı, kargo firmasını veya popüler bir servisi taklit eder.
    • Spear phishing (hedefli oltalama): Belirli bir kişiye özel hazırlanır. Saldırgan kurban hakkında önceden bilgi toplar (adı, unvanı, çalıştığı şirket) ve mesajı inandırıcı kılacak kişisel ayrıntılar ekler. Çok daha tehlikelidir çünkü kişiye özeldir.
    • Whaling (balina avı): Spear phishing'in üst düzey yöneticileri (CEO, CFO) hedef alan türüdür. Amaç genellikle büyük bir para transferini onaylatmak veya kritik verilere erişmektir.
    • Smishing (SMS phishing): Sahte SMS mesajlarıyla yapılır. "Kargonuz teslim edilemedi, şu linke tıklayın" ya da "MTV borcunuz var" gibi mesajlar tipik örneklerdir.
    • Vishing (sesli phishing): Telefonla yapılır. Saldırgan banka görevlisi, teknik destek ya da resmi kurum çalışanı gibi davranarak bilgi ister veya sizi bir işlem yapmaya yönlendirir.
    • Clone phishing (klon oltalama): Daha önce aldığınız gerçek bir e-postanın birebir kopyası oluşturulur; tek fark, içindeki bağlantının veya ekin zararlı olanla değiştirilmesidir. Tanıdık göründüğü için kandırması kolaydır.

    Sahte Bir E-postayı Nasıl Tanırsınız?#

    İyi hazırlanmış bir oltalama mesajı ilk bakışta gerçekten ayırt edilmesi zor olabilir, ama neredeyse her zaman gözden kaçan işaretler bırakır. Şu sinyallere dikkat edin:

    • Sahte veya benzer gönderen adresi: Görünen ad "Ziraat Bankası" olabilir ama gerçek adres [email protected] gibi tuhaf bir alan adı olabilir. Gönderenin tam e-posta adresini mutlaka kontrol edin.
    • Aciliyet ve korku dili: "Hemen harekete geçin", "hesabınız askıya alındı", "son 24 saat" gibi ifadeler sizi düşünmeden tıklamaya iter. Meşru kurumlar sizi bu şekilde köşeye sıkıştırmaz.
    • Sahte URL ve typosquatting: Bağlantı metni doğru görünse bile üzerine geldiğinizde beliren gerçek adres farklı olabilir. paypa1.com (l yerine 1), micros0ft.com (o yerine 0) gibi harf oyunları klasik tuzaklardır.
    • Yazım ve dilbilgisi hataları: Profesyonel kurumların resmi yazışmalarında görülmeyecek çeviri bozuklukları, imla hataları ve garip cümleler güçlü bir uyarıdır.
    • Beklenmeyen ekler: Tanımadığınız .zip, .exe, makrolu Office dosyaları veya beklemediğiniz faturalar zararlı yazılım taşıyabilir.
    • Genel hitap: "Sayın Müşterimiz", "Değerli Kullanıcı" gibi kişiselleştirilmemiş hitaplar, mesajın toplu gönderilen bir yem olduğunun işareti olabilir.

    Tek bir işaret bile mesajı şüpheli kılmaya yeter. Emin değilseniz, mesajdaki bağlantıya tıklamak yerine kurumun resmi web sitesine adres çubuğuna elle yazarak gidin.

    Gerçek Örnek Senaryolar#

    Teoriyi somutlaştırmak için sık karşılaşılan üç senaryoya bakalım:

    Sahte banka bildirimi: "Hesabınızda olağandışı bir işlem tespit edildi. Kartınızın bloke olmaması için lütfen aşağıdaki bağlantıdan kimliğinizi doğrulayın." Bağlantı, bankanın gerçek sitesinin birebir kopyası olan sahte bir sayfaya götürür. Kullanıcı adı, parola ve hatta SMS onay kodunu girdiğinizde bunların hepsi saldırgana gider. Hiçbir banka sizden bu şekilde bilgi doğrulamanızı istemez.

    Sahte kargo mesajı: "Paketiniz adres bilgisi eksik olduğu için teslim edilemedi. Yeniden teslimat için küçük bir ücret ödeyin." SMS ile gelen bu mesaj, kart bilgilerinizi girmeniz için sahte bir ödeme sayfasına yönlendirir. Özellikle çok sayıda kargo beklediğiniz dönemlerde inandırıcı gelir.

    Sahte hosting/domain yenileme: "Alan adınızın süresi 2 gün içinde doluyor. Sitenizin kapanmaması için hemen yenileyin." Bu e-posta, gerçek barındırma sağlayıcınızı taklit eder ve sizi sahte bir ödeme sayfasına ya da panel giriş ekranına yönlendirir. Amaç, hem kart bilgilerinizi hem de panel parolanızı çalmaktır. Gerçek sağlayıcınızın bildirimlerini her zaman resmi paneline giriş yaparak doğrulayın.

    Bu senaryoların ortak paydası şudur: hepsi sizi acele ettirir ve bilgilerinizi bir bağlantı üzerinden girmeye yönlendirir. Bu iki unsurun bir arada bulunması, neredeyse her zaman bir oltalama işaretidir.

    Bireysel Korunma Yöntemleri#

    Phishing'e karşı en etkili savunma, teknoloji ile sağduyunun birleşimidir. Şu alışkanlıkları edinin:

    1. Bağlantıyı tıklamadan önce URL'yi kontrol edin. Fareyle bağlantının üzerine gelin (mobilde basılı tutun) ve beliren gerçek adresi okuyun. Adres beklediğinizden farklıysa tıklamayın.
    2. Adresi elle yazın. Bankanıza ya da panelinize gireceğiniz zaman e-postadaki bağlantıyı kullanmayın; adresi tarayıcının adres çubuğuna kendiniz yazın veya kayıtlı yer imini kullanın.
    3. İki faktörlü doğrulama (2FA) kullanın. Parolanız çalınsa bile 2FA, saldırganın hesabınıza girmesini engeller. Bu, phishing'e karşı en güçlü tek önlemdir. Kurulum için iki faktörlü doğrulama (2FA) rehberimize bakın.
    4. Parola yöneticinizin sessiz uyarısına güvenin. Parola yöneticileri parolayı yalnızca kayıtlı ve doğru alan adında otomatik doldurur. Sahte bir sitede araç parolayı doldurmuyorsa, bu güçlü bir "burada bir sorun var" sinyalidir. Bu konuda güçlü parola politikası yazımızda daha fazla ayrıntı bulabilirsiniz.
    5. Yazılımlarınızı güncel tutun. Tarayıcı, işletim sistemi ve güvenlik yazılımı güncellemeleri, bilinen phishing sitelerini ve zararlı yazılımları engelleyen korumaları içerir.
    6. SMS ve telefon isteklerine şüpheyle yaklaşın. Hiçbir meşru kurum sizi arayıp parolanızı, SMS onay kodunuzu ya da kart CVV'nizi istemez. Şüphelendiğinizde telefonu kapatın ve kurumu resmi numarasından siz arayın.

    İşletmeler ve Web Sitesi Sahipleri İçin Korunma#

    Bir işletme ya da web sitesi işletiyorsanız, sorumluluğunuz yalnızca kendinizi değil, müşterilerinizi ve marka itibarınızı da korumaktır. Saldırganlar sizin markanızı taklit ederek müşterilerinize sahte e-posta gönderebilir. Bunu zorlaştırmak için:

    • SPF, DKIM ve DMARC kayıtlarını yapılandırın. Bu üç e-posta kimlik doğrulama standardı, başkalarının sizin alan adınız adına sahte e-posta göndermesini büyük ölçüde engeller. SPF hangi sunucuların sizin adınıza mail gönderebileceğini belirler, DKIM giden postaları kriptografik olarak imzalar, DMARC ise doğrulamayı geçemeyen mailler için ne yapılacağını (reddet/karantina) tanımlar.
    • Çalışanlarınızı eğitin. Oltalama saldırılarının çoğu bir çalışanın hatasıyla başlar. Düzenli farkındalık eğitimleri ve simüle edilmiş phishing testleri, insan zafiyetini ciddi ölçüde azaltır.
    • Kritik işlemler için ikinci onay zorunlu kılın. Özellikle para transferi ve kimlik bilgisi değişikliği gibi işlemlerde tek bir e-postaya güvenmeyin; ikinci bir kanaldan (telefon gibi) doğrulama isteyin.
    • Web sitenizde SSL kullanın ve müşterilerinizi bilgilendirin. Müşterilerinize her zaman resmi alan adınız üzerinden ve HTTPS bağlantısıyla giriş yapmalarını hatırlatın. SSL sertifikaları için SSL çözümlerimizi inceleyebilirsiniz.
    • Yönetici panellerini koruyun. Giriş sayfalarına 2FA ve brute-force koruması ekleyin; gerekiyorsa bir web uygulama güvenlik duvarıyla (WAF) şüpheli trafiği filtreleyin. Ayrıntılar için web uygulama güvenlik duvarı (WAF) yazımıza bakabilirsiniz.

    Şüpheli E-posta Kontrol Listesi#

    Bir e-postadan şüphelendiğinizde hızlıca aşağıdaki tabloyu kullanın. Kaç işaretin "tehlike" sütununa denk geldiğini kontrol edin; birden fazlası varsa neredeyse kesinlikle oltalama söz konusudur.

    Kontrol NoktasıGüvenli İşaretTehlike İşareti
    Gönderen adresiKurumun bilinen resmi alan adıTuhaf, benzer ya da yabancı alan adı
    Hitap şekliAdınızla kişisel hitapGenel "Sayın Müşterimiz"
    Dil ve yazımAkıcı, hatasızİmla/çeviri hataları, garip cümleler
    Aciliyet tonuSakin, bilgilendiriciKorku, tehdit, "hemen" baskısı
    Bağlantı adresiBeklenen resmi URLFarklı, kısaltılmış ya da harf oyunlu URL
    Ek dosyaBeklenen, bilinen dosyaBeklenmeyen .zip/.exe/makrolu dosya
    İstenen bilgiHassas bilgi istenmezParola, kart, SMS kodu isteniyor

    Phishing'e Düştüyseniz Ne Yapmalısınız?#

    Bir oltalama tuzağına düştüğünüzü fark ettiyseniz, panik yapmak yerine hızlı ve sistematik hareket edin. Zaman kritiktir:

    1. Parolanızı derhal değiştirin. Bilgilerinizi girdiğiniz hesabın parolasını hemen değiştirin. Aynı parolayı başka yerlerde de kullandıysanız oraları da değiştirin.
    2. Bankanızı arayın. Kart ya da banka bilgilerinizi girdiyseniz, kartınızı bloke ettirmek ve işlemleri izletmek için bankanızın resmi numarasını arayın.
    3. 2FA'yı etkinleştirin veya kontrol edin. Hesabınızda iki faktörlü doğrulama yoksa hemen açın; varsa saldırganın kendi cihazını eklemediğinden emin olun.
    4. Cihazınızı tarayın. Bir ek açtıysanız ya da bir dosya indirdiyseniz, güncel bir güvenlik yazılımıyla tam tarama yapın.
    5. Oturumları sonlandırın. Hesabınızın güvenlik ayarlarından "tüm cihazlardan çıkış yap" seçeneğini kullanarak saldırganın açık oturumlarını kapatın.
    6. Bildirin. İşyerinde yaşandıysa BT ekibinizi bilgilendirin; taklit edilen kuruma ve gerekiyorsa yetkili makamlara durumu iletin.

    Hızlı müdahale, olası zararı en aza indirir. Unutmayın, phishing kurbanı olmak bir başarısızlık değildir; saldırılar giderek daha inandırıcı hale geliyor. Önemli olan işaretleri erken fark etmek ve doğru refleksleri geliştirmektir.

    Sıkça Sorulan Sorular#

    Phishing ile spam arasındaki fark nedir?#

    Spam, genellikle istenmeyen ama zararsız reklam ve tanıtım e-postalarıdır; amacı sizi bir ürün ya da hizmete yönlendirmektir. Phishing ise doğrudan zararlıdır: sizi kandırarak parola, kart bilgisi gibi hassas verileri çalmayı ya da cihazınıza zararlı yazılım bulaştırmayı hedefler. Her phishing bir tür istenmeyen postadır ama her spam phishing değildir. Phishing niyeti bakımından çok daha tehlikelidir.

    E-postadaki bir bağlantının sahte olup olmadığını nasıl anlarım?#

    Bağlantıya tıklamadan üzerine gelin (mobilde basılı tutun) ve beliren gerçek adresi okuyun. Adres, beklediğiniz resmi alan adından farklıysa, harf oyunları (paypa1.com gibi) içeriyorsa ya da tanımadığınız bir alan adına gidiyorsa tıklamayın. En güvenlisi, e-postadaki bağlantıyı hiç kullanmadan kurumun adresini tarayıcıya kendiniz yazmaktır. Kısaltılmış bağlantılara (bit.ly gibi) da ekstra şüpheyle yaklaşın.

    İki faktörlü doğrulama phishing'e karşı gerçekten koruma sağlar mı?#

    Evet, 2FA phishing'e karşı en etkili tek önlemlerden biridir. Saldırgan parolanızı çalsa bile telefonunuzdaki uygulama kodu ya da fiziksel güvenlik anahtarı olmadan hesabınıza giremez. En güçlü koruma fiziksel güvenlik anahtarları (FIDO2) ile sağlanır çünkü bunlar sahte siteleri teknik olarak reddeder. Yine de hiçbir yöntem yüzde yüz değildir; 2FA'yı dikkatli davranışla birleştirmek en sağlıklısıdır.

    İşletmem için SPF, DKIM ve DMARC neden önemli?#

    Bu üç e-posta kimlik doğrulama standardı, başkalarının sizin alan adınız adına sahte e-posta göndermesini engeller. Bunları yapılandırmadığınızda, saldırganlar markanızı taklit ederek müşterilerinize oltalama e-postaları gönderebilir; bu hem müşterilerinizi mağdur eder hem de marka itibarınızı zedeler. Doğru yapılandırılmış DMARC politikası, doğrulamayı geçemeyen sahte mailleri reddedilecek ya da karantinaya alınacak şekilde işaretler.

    Yanlışlıkla bir phishing bağlantısına tıkladım ama bilgi girmedim, tehlikede miyim?#

    Sadece tıklamak ve hiçbir bilgi girmemek genellikle düşük risklidir, ancak tamamen risksiz değildir. Bazı sayfalar tarayıcı açıklarını kullanarak zararlı yazılım indirmeye çalışabilir. Bir dosya indirilmediyse ve hiçbir form doldurmadıysanız, sekmeyi kapatın, tarayıcınızın güncel olduğundan emin olun ve güvenlik yazılımıyla bir tarama yapın. Yine de bir şüpheniz varsa ilgili hesabın parolasını değiştirmek en güvenli yoldur.

    Kapanış#

    Phishing, teknik bir açığı değil insan güvenini hedefleyen bir saldırı olduğu için ona karşı en iyi savunma da bilinçli ve şüpheci bir kullanıcıdır. Sahte e-postaların işaretlerini tanımak, bağlantıları tıklamadan önce kontrol etmek, adresleri elle yazmak ve her hesapta iki faktörlü doğrulama kullanmak, oltalama saldırılarının büyük çoğunluğunu etkisiz hale getirir. İşletmeler içinse SPF/DKIM/DMARC yapılandırması ve düzenli çalışan eğitimi vazgeçilmezdir.

    Sitenizi ve markanızı korumak için doğru altyapı da en az farkındalık kadar önemlidir. Güvenli e-posta ve giriş korumasıyla gelen hosting paketlerimizi, müşterilerinizin güvenini pekiştiren SSL sertifikalarımızı ve şüpheli trafiği filtreleyen WAF çözümümüzü inceleyerek altyapınızı güçlendirebilirsiniz. Katmanlı bir savunma, hem sizi hem de kullanıcılarınızı korur.

    PhishingGüvenlikE-posta

    Uygulamaya geçmeye hazır mısınız?

    NVMe SSD, ücretsiz SSL ve %99.9 uptime garantisiyle Clou.TR hosting ve sunucu çözümleriyle projenizi hayata geçirin.