Oltalama (Phishing) nedir? — Bilgi Güvenliği Sözlüğü

Kötü Amaçlı Yazılım & Saldırılar

Oltalama (Phishing)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Dünyadaki veri ihlallerinin büyük çoğunluğu bir yazılım açığıyla değil, tek bir çalışanın sahte bir e-postadaki bağlantıya tıklamasıyla başlar — oltalama, saldırganların en sevdiği kapıdır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta 'Oltalama (Phishing)' terimini öğreniyoruz: sahte mesajlarla insanları kandırıp parola, kart bilgisi veya erişim elde etme tekniği. En pahalı saldırıların çoğu teknik değil, psikolojiktir — bu yüzden farkındalık en güçlü savunmadır.

Anlatım

NEDİR? Oltalama (Phishing), saldırganların güvenilir bir kurum veya kişi gibi davranarak (banka, kargo, BT departmanı, yönetici) gönderdikleri sahte e-posta, SMS, telefon veya web sayfalarıyla kurbanı kandırıp gizli bilgilerini (kullanıcı adı, parola, kredi kartı, OTP/doğrulama kodu) ifşa etmeye veya zararlı bir dosyayı açmaya/zararlı bir bağlantıya tıklamaya ikna etmesidir. Adı, İngilizce 'fishing' (balık tutma) kelimesinden gelir: saldırgan bir 'yem' atar, kurbanın 'oltaya gelmesini' bekler. NASIL ÇALIŞIR? (Adım adım) 1) Hazırlık: Saldırgan, güvenilir bir markanın görünümünü taklit eder — logo, renkler, gönderen adı ve e-posta imzasını kopyalar. 2) Yem (lure): Aciliyet veya korku yaratan bir mesaj kurgular: 'Hesabınız askıya alındı', 'Kargonuz beklemede', 'Faturanız ödenmedi', 'Hemen parolanızı doğrulayın'. 3) Sahte kanal: Mesaja, gerçeğine çok benzeyen ama farklı bir alan adına (ör. 'paypa1.com', 'micros0ft-destek.com') giden bir bağlantı veya zararlı bir ek konur. 4) Toplama (harvest): Kurban sahte sayfaya bilgilerini girdiğinde, veriler doğrudan saldırgana ulaşır. Bazı durumlarda tıklama anında zararlı yazılım da inebilir. 5) İstismar: Çalınan kimlik bilgileri hesap ele geçirme, dolandırıcılık, fidye yazılımı bulaştırma veya kurum ağına sızma için kullanılır. NEDEN ÖNEMLİ / İŞ YERİNDE Oltalama, kurumlara yönelik veri ihlallerinin en yaygın başlangıç noktasıdır ve insan faktörünü hedeflediği için en güçlü güvenlik duvarını bile aşabilir. İş yerinde çalışanlar genellikle 'fatura', 'IK', 'yönetici talebi' veya 'tedarikçi ödeme bilgisi değişikliği' kılığındaki mesajlarla hedef alınır (CEO dolandırıcılığı / BEC). Tek bir başarılı tıklama, tüm kurumun ağına erişim, maddi kayıp ve itibar zararı anlamına gelebilir. DİKKAT / İYİ UYGULAMA • Gönderen adresini ve bağlantı hedefini tıklamadan önce (üzerine gelerek) kontrol et; alan adındaki küçük farklara dikkat et. • Aciliyet, korku veya 'gizli tut' baskısı = uyarı işareti. • Parola/kart bilgisi/OTP'yi asla e-posta veya SMS bağlantısı üzerinden girme; resmi siteye doğrudan adresi yazarak gir. • Çok faktörlü doğrulama (MFA) kullan — parola çalınsa bile ikinci katman koruma sağlar. • Şüpheli mesajı silme yerine BT/güvenlik ekibine bildir; kurumsal oltalama farkındalık eğitimlerine katıl.

📌 Senaryolar

📌 Örnek 1 (Sahte banka e-postası): Bir kullanıcıya 'Bankanız' adından 'Hesabınız 24 saat içinde kapatılacak, hemen doğrulayın' diyen bir e-posta gelir; içindeki düğme 'guvenli-banka-dogrulama.com' adresine yönlendirir.
  Açıklama: Klasik oltalama. Yem = aciliyet/korku; sahte kanal = bankanın gerçek alan adı olmayan bir site. Gerçek bankalar e-posta bağlantısından parola/şifre istemez. Doğru davranış: tıklamadan bankanın resmi adresini tarayıcıya elle yazıp giriş yapmak ve mesajı bankaya/BT'ye bildirmek.

📌 Örnek 2 (Smishing — SMS oltalaması): Telefona 'Kargonuz teslim edilemedi, gümrük ücretini ödemek için bağlantıya tıklayın: bit.ly/kargo-ode' şeklinde bir SMS gelir.
  Açıklama: SMS üzerinden yapılan oltalamaya 'smishing' denir. Kısaltılmış bağlantılar gerçek hedefi gizler. Doğru davranış: bağlantıya dokunmamak, kargo firmasının resmi uygulaması/sitesi üzerinden takip numarasını kontrol etmek; ödeme bilgisini asla SMS bağlantısından girmemek.

📌 Örnek 3 (İş yeri — CEO/yönetici dolandırıcılığı, BEC): Muhasebe çalışanına şirket CEO'sunun adından 'Acil bir tedarikçi ödemesi var, şu IBAN'a hemen 50.000 TL gönder, gizli tut, toplantıdayım' diyen bir e-posta gelir.
  Açıklama: Hedefli oltalama / BEC (Business Email Compromise). Yetki, aciliyet ve gizlilik baskısı kullanılır; gönderen adresi gerçeğe çok benzer ama farklıdır. Doğru davranış: ödeme talebini, e-postaya cevap vermeden, bilinen bir telefon numarasından ikinci bir kanalla doğrulamak (geri-arama/onay süreci).

Özet

• Oltalama = sahte mesajla (e-posta/SMS/telefon/sahte site) insanı kandırıp parola, kart veya erişim çalma. • Yem genelde aciliyet, korku veya yetki baskısıdır; gerçek bir markanın görünümü taklit edilir. • En büyük zafiyet teknik değil insandır; tek tıklama tüm kurumu riske atabilir. • Savunma: gönderen/bağlantı kontrolü, bilgileri resmi siteye elle girmek, MFA kullanmak ve şüpheli mesajı BT'ye bildirmek.

✅ Mini-Test (5)

1.Oltalama (phishing) saldırısının temel amacı aşağıdakilerden hangisidir?

2.Bir e-postanın oltalama olabileceğine işaret eden en güçlü uyarı işareti hangisidir?

3.Şüpheli bir 'hesabınızı doğrulayın' e-postası alan bir çalışanın yapması gereken en doğru davranış nedir?

4.Çok faktörlü doğrulama (MFA), parola çalınsa bile hesaba erişimi zorlaştırarak oltalamanın etkisini azaltabilir.

5.Oltalama yalnızca e-posta ile yapılır; SMS veya telefon üzerinden oltalama mümkün değildir.

← Tüm sözlük terimleri · Farkındalık eğitimi