Oltalama (Phishing) Saldırılarını Tanıma

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 2/3⏱ 14 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon'un 2024 Veri İhlali Araştırma Raporuna (DBIR) göre ihlallerin yaklaşık dörtte biri sosyal mühendislik kaynaklıdır ve oltalama bunun başını çeker; üstelik bir kullanıcının sahte bir e-postaya tıklaması için ortalama yalnızca 60 saniye yetiyor. Tek bir yanlış tıklama, koca bir kurumun kapısını saldırgana açabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste oltalama (phishing) saldırılarını öğreniyoruz: sahte e-posta ve sahte giriş sayfalarının ele veren işaretlerini tanımayı ve bir şüpheli mesaj geldiğinde tam olarak ne yapmanız gerektiğini. Soldaki interaktif sahnede (secPhishingSpotter3D) gerçekçi bir gelen kutusunu inceleyebilir; gönderen adresini, bağlantı hedefini ve aciliyet ipuçlarını adım adım deneyerek 'güvenli mi, oltalama mı?' kararını verme pratiği yapabilirsiniz.

Anlatım

OLTALAMA (PHISHING) NEDİR? Oltalama, saldırganın güvenilir bir kurum veya kişi gibi davranarak (banka, kargo firması, İK, yönetici, BT destek) sizi kandırıp parola, kredi kartı, kurumsal erişim gibi bilgileri vermeye ya da zararlı bir bağlantıya tıklamaya / dosyayı açmaya ikna etmesidir. Teknik bir zafiyetten çok İNSAN davranışını hedefler. NEDEN ÖNEMLİ? • Saldırıların çoğu en zayıf halkadan, yani kullanıcıdan başlar; en güçlü güvenlik duvarı bile bir çalışanın gönüllü tıklamasını engelleyemez. • Tek bir çalınan kurumsal parola, fidye yazılımı (ransomware), veri ihlali ve KVKK kapsamında bildirim/yaptırım süreçleriyle sonuçlanabilir. • Maliyet sadece para değil; itibar ve müşteri güveni de kaybedilir. OLTALAMA TÜRLERİ • Klasik phishing: Geniş kitleye gönderilen genel sahte e-postalar. • Spear phishing (hedefli): Size özel, adınız/rolünüz/projeniz bilinerek hazırlanmış mesaj. • Whaling: Üst düzey yöneticileri hedef alan oltalama. • BEC / CEO dolandırıcılığı: 'Patron' kimliğiyle acil para transferi/fatura ödemesi istenmesi. • Smishing (SMS) ve Vishing (telefon/sesli) ile QR-kod oltalaması (quishing) aynı mantığın farklı kanallarıdır. ELE VEREN İŞARETLER (KIRMIZI BAYRAKLAR) 1) Gönderen adresi: Görünen ad doğru olabilir ama gerçek e-posta alan adı sahtedir (ör. [email protected], [email protected]). Alan adını harf harf kontrol edin. 2) Aciliyet ve korku/ödül: 'Hesabınız 24 saatte kapanacak', 'Ödülünüzü hemen alın', 'Acilen ödeme yapın' — düşünmeden hareket ettirmeye çalışır. 3) Bağlantı uyumsuzluğu: Bağlantının üzerine GELİN (tıklamadan), alt köşede görünen gerçek hedef metindekiyle aynı mı? Farklıysa şüphelidir. 4) Beklenmeyen ek: Tanımadığınız fatura, .zip, .html veya makro içerebilen ofis dosyaları. 5) Genel hitap ve dil hataları: 'Sayın müşteri', tuhaf çeviri, yazım hataları, kurumsal olmayan ton. 6) Bilgi talebi: Meşru kurumlar e-posta ile parola, OTP/SMS kodu, kart CVV bilgisi İSTEMEZ. YAPILMASI GEREKENLER (DO) • Şüphede DURUN: tıklamadan, indirmeden önce bir an düşünün. • Gönderen adresini ve bağlantı hedefini doğrulayın (bağlantı üzerine gelerek). • Talebi BAĞIMSIZ bir kanaldan teyit edin: kayıtlı resmî telefonu arayın, e-postayı yanıtlamayın. • Adres çubuğuna kurumun adresini ELLE yazarak girin, e-postadaki linki kullanmayın. • Şüpheli mesajı BT/Güvenlik ekibine 'Phishing bildir' butonuyla veya kurum prosedürüyle raporlayın. • Çok faktörlü kimlik doğrulamayı (MFA) her yerde açık tutun — parola çalınsa bile ek bariyer sağlar. YAPILMAMASI GEREKENLER (DON'T) • Aciliyet baskısına kapılıp hızlı tıklamayın. • Parola/OTP/kart bilgisini e-posta, SMS veya telefonla kimseye vermeyin. • Beklenmeyen ekleri açmayın, makroları 'etkinleştir' demeyin. • Şüpheli e-postayı 'merak edip' kontrol etmek için linke tıklamayın; silmeden önce raporlayın. • Tıkladıysanız UTANIP saklamayın — bildirmek hasarı azaltır. TIKLADIYSANIZ NE YAPMALI? • Hemen ağ bağlantısını kesin (gerekirse) ve BT/Güvenlik ekibine bildirin. • Bilgi girdiyseniz ilgili parolayı BAŞKA bir cihazdan derhal değiştirin ve MFA oturumlarını sonlandırın. • Olayı gizlemeyin; hızlı bildirim, müdahale ekibine kazanılan zamandır. ISO 27001 VE KVKK BAĞLANTISI • ISO/IEC 27001:2022 Annex A 6.3 (bilgi güvenliği farkındalık, eğitim ve öğretim) çalışanların oltalamayı tanımasını; A 5.24–A 5.27 bilgi güvenliği olay yönetimini, raporlama ve öğrenilen dersleri kapsar. • Oltalama yoluyla yaşanan kişisel veri ihlalleri KVKK kapsamında 'veri ihlali' sayılır; 6698 sayılı Kanun gereği veri sorumlusunun ihlali en kısa sürede (Kurul kararları uyarınca 72 saat içinde) KVKK Kurumu'na ve gerektiğinde ilgili kişilere bildirme yükümlülüğü doğar. Bu nedenle şüpheli bir tıklamayı raporlamak yalnızca iyi bir alışkanlık değil, uyum açısından da kritiktir.

📌 Senaryolar

📌 Senaryo 1 (Sahte gönderen alan adı): Gelen kutunuza 'IT Destek <[email protected]>' adresinden 'Parolanız doluyor, hemen yenileyin' başlıklı bir e-posta düşer. Kurumunuzun gerçek alan adı 'sirket.com.tr' iken buradaki alan adı 'sirket-guvenlik-tr.com' gibi benzer ama farklıdır.
  Doğru davranış: Linke tıklamayın; gönderen alan adını harf harf gerçek kurum adresiyle karşılaştırın, parola değişimini ancak adres çubuğuna kurumun adresini ELLE yazarak yapın ve mesajı 'Phishing bildir' ile raporlayın.
  Sonuç/Neden: Saldırganlar görünen adı doğru gösterse de gerçek alan adını taklit eder; alan adı kontrolü en güvenilir ele-verme işaretlerinden biridir ve ISO 27001 A 6.3 farkındalık hedefiyle örtüşür.

📌 Senaryo 2 (CEO/BEC dolandırıcılığı): Genel Müdür adına gelen bir e-posta, 'Toplantıdayım, acil olarak şu IBAN'a 48.000 TL ödeme yap, kimseye sorma' der.
  Doğru davranış: Talebi e-postayı yanıtlayarak teyit etmeyin; yöneticiyi kayıtlı resmî telefon numarasından arayarak veya yüz yüze doğrulayarak ikinci bir kanaldan teyit edin; ödeme onay prosedürünü uygulayın.
  Sonuç/Neden: BEC saldırıları aciliyet ve otorite baskısı kullanır; bağımsız ikinci-kanal doğrulama bu tip dolandırıcılığı durduran en etkili kontroldür.

📌 Senaryo 3 (Kargo / link uyumsuzluğu): 'Paketiniz teslim edilemedi, adresinizi şu bağlantıdan güncelleyin' diyen bir SMS/e-posta gelir. Bağlantının üzerine geldiğinizde görünen metin 'kargofirmasi.com' iken gerçek hedef 'kargo-takip-tr.xyz' çıkar.
  Doğru davranış: Bağlantıya tıklamayın; tarayıcıyı açıp kargo firmasının adresini elle yazarak takip numarasıyla sorgulayın.
  Sonuç/Neden: Görünen metin ile gerçek hedef adresin farklı olması klasik bir oltalama işaretidir; link hedefini tıklamadan kontrol etmek zararlı sayfaya gitmenizi önler.

📌 Senaryo 4 (OTP/parola talebi): Kendini 'banka güvenlik birimi' olarak tanıtan biri telefonla arayıp 'Hesabınızda şüpheli işlem var, doğrulama için telefonunuza gelen SMS kodunu okuyun' der (vishing).
  Doğru davranış: Hiçbir koşulda OTP/SMS kodunu, parolayı veya kart CVV'sini paylaşmayın; telefonu kapatıp bankanın kartınızın arkasındaki resmî numarasını kendiniz arayın.
  Sonuç/Neden: Meşru kurumlar OTP/parola istemez; OTP'yi paylaşmak saldırgana hesabınıza giriş izni vermek demektir.

📌 Senaryo 5 (Tıkladıktan sonra müdahale): Acele ederken sahte bir 'belge paylaşımı' bağlantısına tıklayıp kurumsal kullanıcı adı ve parolanızı sahte bir giriş sayfasına girdiğinizi fark ettiniz.
  Doğru davranış: Paniğe kapılmadan durumu HEMEN BT/Güvenlik ekibine bildirin; başka bir güvenli cihazdan parolanızı değiştirin, açık oturumları sonlandırın ve mümkünse MFA'yı yeniden yapılandırın.
  Sonuç/Neden: Hızlı ve dürüst raporlama, müdahale ekibinin hesabı kilitleyip olası KVKK kapsamındaki veri ihlali sürecini erken yönetmesini sağlar; olayı saklamak hasarı büyütür.

Özet

• Oltalama, güvenilir biri gibi davranıp bilgi/tıklama elde etmeyi hedefler; insanı hedef alır, teknolojiyi değil. • Kırmızı bayraklar: sahte gönderen alan adı, aciliyet/korku baskısı, link-hedef uyumsuzluğu, beklenmeyen ek, parola/OTP talebi. • Tıklamadan önce DUR: gönderen adresini ve link hedefini kontrol et, talebi bağımsız kanaldan teyit et. • Parola/OTP/kart bilgisini asla e-posta, SMS veya telefonla paylaşma; MFA'yı açık tut. • Şüpheliyi 'Phishing bildir' ile raporla; tıkladıysan gizleme, derhal BT/Güvenlik'e haber ver. • ISO 27001 A 6.3 farkındalık ve A 5.24-5.27 olay yönetimi ile KVKK ihlal bildirim yükümlülüğü bu davranışları zorunlu kılar.

✅ Mini-Test (5)

1.Bir e-postanın oltalama olup olmadığını anlamak için en güvenilir kontrollerden biri aşağıdakilerden hangisidir?

2.Meşru bir banka veya kurum, güvenlik gerekçesiyle de olsa size e-posta veya telefonla parolanızı ya da SMS doğrulama (OTP) kodunuzu sorabilir.

3.Bir e-postadaki bağlantının gerçekten nereye gittiğini TIKLAMADAN nasıl kontrol edersiniz?

4.'Hesabınız 24 saat içinde kapatılacak, hemen tıklayın!' gibi acele ettiren bir mesaj öncelikle hangi taktiği kullanır?

5.Şüpheli bir oltalama e-postası aldığınızda en doğru davranış hangisidir?

🧩 Uygulama Soruları (5)

1.Genel Müdür adına 'Toplantıdayım, kimseye sormadan acilen şu IBAN'a ödeme yap' diyen bir e-posta aldınız. Ne yaparsınız?

2.Sahte bir giriş sayfasına yanlışlıkla kurumsal kullanıcı adı ve parolanızı girdiğinizi fark ettiniz. İlk yapmanız gereken nedir?

3.Telefonla arayıp kendini 'banka güvenlik birimi' olarak tanıtan biri, hesabınızı korumak için telefonunuza gelen SMS doğrulama kodunu okumanızı istiyor. Bu kodu paylaşmak güvenlidir.

4.Bir kargo bildiriminde bağlantının üzerine geldiğinizde görünen metin 'kargofirmasi.com' iken alt köşede beliren gerçek hedef 'kargo-takip-tr.xyz' çıkıyor. Bu durum size ne söyler?

5.Şüpheli bir e-postayı silmeden önceki en faydalı adım hangisidir?

← Güçlü Parola ve Çok Faktörlü D Sosyal Mühendislik ve Manipüla →

← Tüm modüllere dön · Güvenlik Sözlüğü