Phishing Saldırısı Nasıl Anlaşılır? — 7 Kontrol Noktası

Phishing, en yaygın ve en etkili siber saldırı yöntemi olmaya devam ediyor. USOM 2024 istatistiklerine göre Türkiye’de bildirilen siber olayların %68’i sosyal mühendislik kaynaklı. E-posta, SMS, telefon, WhatsApp — saldırganlar her kanalı kullanıyor. Fark etmek için ne bakılacağını bilmek yeterli.

Phishing Türleri

Tür	Kanal	Hedefleme	Türkiye’de Yaygın
E-posta phishing	E-posta	Toplu	Banka, kargo, e-devlet
Smishing	SMS	Toplu/hedefli	Kargo bildirimi, banka
Vishing	Telefon	Hedefli	”Bankadan arıyorum”
Spear phishing	E-posta	Kişisel	CFO’ya sahte fatura
Whaling	E-posta/Tel	C-level	CEO sahtekarlığı
Clone phishing	E-posta	Toplu	Gerçek e-postanın kopyası

Türkiye’den Gerçek Örnekler

PTT/Kargo SMS’i: “Gönderiniz bekleniyor. Adres güncelleme linki: [sahte URL]” — tıkladığınızda kişisel bilgi formu.

E-devlet E-postası: “Ceza ihbarnamesi” veya “vergi borcu” başlıklı, resmi logo kullanılmış, aciliyet hissi yaratılmış. Link gerçek e-devlet’e değil sahte bir siteye yönlendiriyor.

Banka Araması: “Hesabınızda şüpheli işlem var, güvenliğiniz için kartınızı onaylamanız gerekiyor. Kart numaranızın son 4 hanesini söyleyin.” — Gerçek banka asla telefonda tam kart bilgisi istemez.

İş E-postası Sahtekarlığı (BEC): Bir muhasebe firması senaryosu. CEO’nun adresiyle birebir aynı görünen ama farklı domain’den gelen e-posta: “Acil ödeme yapılması gerekiyor, bankaya havale et.” Fark? ceo@sirket.com yerine ceo@sirket-tr.com.

---

7 Kontrol Noktası

1. Gönderici Adresine Bak, Görünen İsme Değil

E-posta istemcileri varsayılan olarak “görünen adı” gösterir: PTT Kargo <noreply@ptt.gov.tr>. Ama bu kısım kolayca taklit edilir.

Gerçek gönderici adresini kontrol et:

• Gmail: “Kimden” alanının yanındaki oka tıkla
• Outlook: gönderici adının üzerine gelince açılan pencerede tam adres görünür

Görünen ad:   Ziraat Bankası
Gerçek adres: noreply@ziraat-bildirim.tk  ← sahte
Gerçek adres: noreply@ziraatbankasi.com.tr ← gerçek

Homoglyph saldırısı: Türkçe karakterler veya benzer görünen harfler:

• siberkale.com ← gerçek
• sіberkale.com ← sahte (i harfi farklı unicode — і)
• siberk4le.com ← rakam

2. Linke Tıklamadan Önce Üzerine Gel

Farenle linkin üzerine gel, tarayıcının alt köşesinde gerçek URL görünür. Mobilde uzun basarak URL’yi kopyalayıp inceleyebilirsin.

Sahte URL kalıpları:

Gerçek	Sahte Versiyon	Teknik
garanti.com.tr/login	garanti.com.tr.login-secure.xyz/	Domain sonrası alt domain
akbank.com.tr	akbank-guvenli.com	Marka adı + kelime
irs.gov/payment	irs-gov-payment.net/	Tire ile birleştirme
turkiye.gov.tr	turkiye.gov.tr.phish.com	Subdomain olarak gerçek alan

Kural: nokta (.) dan sonra gelen kısım asıl domain’dir. turkiye.gov.tr.phish.com adresinin domain’i phish.com’dur.

3. Aciliyet ve Korku Dili

Phishing e-postaları genellikle baskı yaratır:

• “Hesabınız 24 saat içinde kapatılacak”
• “Acil ödeme yapılmazsa yasal işlem başlatılır”
• “Bir şüpheli giriş tespit edildi, şifrenizi hemen değiştirin”
• “Bu mesajı kimseyle paylaşmayın”

Meşru kurumlar bu dili kullanmaz. Gerçek bir banka sorunu varsa müşteriyi resmi kanallardan (şube, çağrı merkezi) arar — bir linke tıklatmaz.

4. Dil ve Yazım Hatalarına Bak

Kötü çevrilmiş veya hatalı Türkçe önemli bir işaret. Ancak modern phishing araçları artık GPT tabanlı içerik üretiyor — bu filtre artık eskisi kadar güvenilir değil.

Dikkat: Hatasız, düzgün Türkçe yazılmış bir phishing e-postası da var olabilir.

5. Ek Dosyaları Açma

E-posta ekleri en sık kullanılan zararlı yazılım dağıtım vektörü:

Uzantı	Risk Seviyesi
.exe, .bat, .msi	🔴 Yüksek — doğrudan çalıştırılabilir
.doc, .xls, .ppt (eski format)	🔴 Yüksek — makro içerebilir
.docx, .xlsx (makro içeren)	🟠 Orta
.pdf (JavaScript içeren)	🟠 Orta
.zip, .rar (içi bilinmiyor)	🟡 Dikkatli
.jpg, .png (gerçek resim)	🟢 Düşük

Şüpheli bir eki açmadan önce: VirusTotal → dosyayı veya URL’yi yükle → 70+ motorla analiz.

6. HTTPS Var Diye Güvenme

“Kilit ikonu var = güvenli” — bu artık geçerli değil. TLS sertifikası sadece bağlantının şifreli olduğunu gösterir, sitenin meşru olduğunu değil. Phishing siteleri de kolayca ücretsiz SSL sertifikası alıyor (Let’s Encrypt).

Güvenli olup olmadığını belirleyen domain adresinin kendisi.

7. E-posta Header’ını İncele

Teknik kullanıcılar için: header analizi gönderici sahteciliğini açıkça gösterir.

Gmail’de: sağ üst köşe → “Orijinali göster” (View Original)

Received: from mail.suspicious.ru (mail.suspicious.ru [185.220.x.x])
        by mx.google.com with ESMTP
Authentication-Results: mx.google.com;
       dkim=fail (signature did not verify)
       spf=fail (google.com: domain of noreply@ziraatbankasi.com.tr does not
                 designate 185.220.x.x as permitted sender)
       dmarc=fail

dkim=fail, spf=fail, dmarc=fail — bu üçü birlikte görünüyorsa e-posta kesinlikle sahte.

---

URL Analizi

Bir URL’nin meşruiyetini kontrol etmek için ücretsiz araçlar:

VirusTotal: https://www.virustotal.com/gui/url

• URL’yi gir, 70+ güvenlik motoruyla tara
• Bilinen zararlı site mi, temiz mi gösterir

urlscan.io: https://urlscan.io

• Siteyi ziyaret etmeden screenshot alır
• DOM yapısını, yüklenen kaynakları gösterir

Google Safe Browsing: https://transparencyreport.google.com/safe-browsing/search

Örnek analiz: hxxps://garantibbva-guvenli[.]com/login

• Domain: garantibbva-guvenli.com — marka adı + kelime, .com uzantısı (Türk bankası .com.tr kullanır)
• WHOIS: 3 gün önce kaydedilmiş (meşru bankalar yıllardır aynı domaini kullanır)
• SSL sertifikası: Let’s Encrypt (meşru banka genellikle EV sertifikası kullanır)

---

Tıkladıysan Ne Yapmalısın?

Yalnızca linki açtın, bilgi girmedin:

• Büyük ihtimalle güvendesin ama tarayıcıyı güncelle
• Şüpheli bir program yüklendiyse antivirüs tara

Bilgilerini girdin:

1. Hemen şifre değiştir — o site için ve aynı şifreyi kullandığın her yerde
2. MFA aktifse hesabı kilitle ve aktif oturumları sonlandır (Gmail/Outlook → güvenlik → cihazlar)
3. Banka bilgisi girdiysen bankayı ara — kartı dondurmaları için

İş bilgisayarında: 4. IT ekibini bildir — olayı saklamak daha büyük sorunlara yol açar 5. Cihazı ağdan ayır, IT tarafından temizlenmesini bekle

Kurumsal hesap bilgisi girdiysen: 6. Oturum loglarını incele — başka biri giriş yaptı mı? 7. E-posta yönlendirme kurallarını kontrol et — saldırganlar genellikle gizli yönlendirme kurar

---

Kurumsal Koruma: SPF, DKIM, DMARC

SPF (Sender Policy Framework)

Domain adına hangi IP’lerin e-posta gönderebileceğini DNS’e kaydet:

TXT @ "v=spf1 include:_spf.google.com include:mailchimp.com -all"

-all = SPF geçemeyenleri reddet. ~all = soft fail (karantinaya al). +all = herkese izin ver (güvensiz).

DKIM (DomainKeys Identified Mail)

Gönderilen her e-postaya özel anahtar imzası eklenir. Alıcı sunucu DNS’ten public key alarak imzayı doğrular:

TXT google._domainkey "v=DKIM1; k=rsa; p=MIGfMA0GCSq..."

Google Workspace, Microsoft 365 gibi platformlar DKIM’i otomatik yapılandırabilir.

DMARC (Domain-based Message Authentication)

SPF veya DKIM başarısız olursa ne yapılacağını belirtir:

TXT _dmarc "v=DMARC1; p=quarantine; rua=mailto:dmarc@sirket.com; pct=100"

Politika	Anlamı
p=none	Sadece raporla, işlem yapma (test için)
p=quarantine	Spam klasörüne at
p=reject	Reddet, teslim etme

Uygulama sırası: Önce p=none ile başla, DMARC raporlarını incele (2-4 hafta), sonra quarantine, ardından reject. Aceleyle reject uygulamak meşru e-postaları da bloke edebilir.

Kontrol Araçları

# SPF kaydını kontrol et
dig TXT sirket.com +short | grep spf

# DMARC kaydını kontrol et
dig TXT _dmarc.sirket.com +short

# DKIM kaydını kontrol et
dig TXT google._domainkey.sirket.com +short

Online araç: MXToolbox — domain gir, tüm e-posta güvenlik kayıtlarını tarar.

---

Çalışanlara Anlatılacak 3 Kural

Uzun eğitimler yerine 3 kural hafızada kalır:

1. Acil ve korku varsa dur, düşün. Gerçek kurumlar panikletmez.
2. Linke tıklamadan önce domain adresini kontrol et. Nokta sonrası ne yazıyor?
3. Şüpheliysen sor. IT’ye sormak, 1 dakika. Yanlış tıklamayı düzeltmek, günler.

İstatistik: Google ve Stanford Üniversitesi araştırmasına göre phishing saldırılarının %85’i ilk 10 dakika içinde başarıya ulaşıyor. Duraksama süresini uzatmak en etkili savunma.