Phishing Saldırılarına Karşı: Yerel Örneklerle Kontrol Listesi

Phishing Saldırılarına Karşı: Yerel Örneklerle Kontrol Listesi

Siber güvenlik tehditleri arasında en yaygın ve tehlikeli yöntemlerden biri phishing (oltalama) saldırılarıdır. Türkiye’de son yıllarda özellikle e-devlet, bankacılık uygulamaları ve sosyal medya hesapları üzerinden yapılan phishing girişimleri hızla artmıştır. Bu yazıda, yerel örnekler ve gerçek saldırı senaryoları üzerinden, hem bireyler hem de kurumlar için uygulanabilir bir kontrol listesi sunuyoruz.
Kriptomagic.com olarak, dijital güvenliğinizi artırmak için en güncel bilgileri ve pratik önlemleri derledik.

1. Phishing Nedir ve Neden Tehlikelidir?

Phishing, saldırganların sahte e-posta, SMS veya web siteleri kullanarak kişisel bilgileri (şifre, kimlik numarası, banka bilgileri) ele geçirmeye çalıştığı bir saldırı türüdür.
Tehlikesi, gerçek markaları ve resmi kurumları taklit etme yeteneğinden gelir. Türkiye’de BTK verilerine göre, 2024 yılında bildirilen phishing girişimlerinin sayısı %35 artmıştır.

Örnek:

• E-Devlet Taklidi: Kullanıcılara "Yeni bir tebligatınız var, giriş yapın" başlıklı sahte SMS gönderilerek, e-devlet giriş bilgileri çalınmıştır.
• Bankacılık Sahtekarlığı: "Hesabınız askıya alındı, buradan doğrulayın" bağlantısı ile kullanıcılar sahte bankacılık sitelerine yönlendirilmiştir.

2. Türkiye’de Yaygın Phishing Yöntemleri

a) SMS ile Oltalama (Smishing)

Bankalardan veya kargo firmalarından geldiği iddia edilen sahte SMS’ler, en yaygın phishing yöntemidir.
Örnek: “PTT’den adınıza kargo geldi, teslim almak için tıklayın” mesajı ile sahte ödeme sayfasına yönlendirme.

b) E-posta ile Oltalama

Resmi logolar, kurumsal dil ve hatta doğru görünen e-posta adresleri ile kullanıcıların güveni kazanılır.
Örnek: Sahte “Vergi Dairesi” e-postası ile vergi borcu görüntüleme bahanesiyle zararlı yazılım yükletme.

c) Sosyal Medya Phishing

Instagram, Facebook veya X (Twitter) hesaplarına gelen "Hesabınız kapatılmak üzere" mesajları ile kullanıcı bilgileri çalınır.

d) Kripto Para ve NFT Dolandırıcılığı

Kripto para yatırımcılarına yönelik sahte airdrop kampanyaları, cüzdan anahtarlarını hedefler.
Örnek: “Ücretsiz 100 USDT kazanmak için cüzdanınızı bağlayın” şeklindeki sahte platformlar.

3. Phishing Saldırılarının Yerel İstatistikleri

• BTK (2024): Türkiye’de her ay ortalama 15.000’den fazla phishing URL’si engelleniyor.
• BDDK: Bankacılık sisteminde phishing kaynaklı dolandırıcılık vakaları, toplam siber saldırıların %42’sini oluşturuyor.
• Kripto Piyasası: Türkiye’de 2023-2024 arasında phishing kaynaklı kripto kayıpları 200 milyon TL’yi aştı.

4. Phishing Saldırısını Tanımanın İpuçları

Aşağıdaki soruları sorun:

• Mesaj veya e-posta beklenmedik mi geldi?
• Linkin adresi gerçekten resmi domain mi?
• Acil işlem yapma baskısı var mı?
• Yazım hataları, garip karakterler veya dil bozukluğu var mı?
• Gönderici adresi veya telefon numarası şüpheli mi?

Yerel Örnek:

• Gerçek URL: www.turkiye.gov.tr
• Sahte URL: www.turkiye-gov-tr.com

5. Phishing’e Karşı Kontrol Listesi

A) Bireyler İçin

1. Bağlantılara Dikkat: Mesajlarda gelen linklere tıklamadan önce adresi kontrol edin.
2. İki Faktörlü Doğrulama (2FA): Mümkün olan her yerde aktif edin.
3. Güvenli Şifre Yönetimi: Şifreleri karmaşık ve benzersiz yapın, şifre yöneticisi kullanın.
4. Resmi Uygulamaları Kullanın: Banka veya e-devlet işlemleri için yalnızca resmi uygulamaları indirin.
5. Antivirüs ve Güncellemeler: Telefon ve bilgisayarınızı güncel tutun.

B) Kurumlar İçin

1. Çalışan Eğitimleri: Düzenli phishing farkındalık eğitimleri verin.
2. Simülasyon Testleri: Gerçekçi phishing testleri ile çalışanları sınayın.
3. E-posta Filtreleme: Sahte e-postaları tespit eden güvenlik yazılımları kullanın.
4. Olay Müdahale Planı: Phishing tespit edildiğinde uygulanacak acil prosedürü oluşturun.
5. Domain Koruması: Marka adınızı taklit eden domainleri önceden kaydedin.

6. Yerel Vaka Analizleri

Vaka 1: Banka SMS Dolandırıcılığı (2024)

Bir kamu bankasının müşterilerine, hesaplarının bloke edildiğine dair sahte SMS gönderildi.
Kullanıcılar linke tıklayıp kimlik ve şifre bilgilerini girdikten sonra, hesaplarından anında para çekildi.

Vaka 2: E-Devlet Şifre Hırsızlığı

Bir grup saldırgan, e-devlet giriş sayfasını birebir kopyalayarak sosyal medya reklamı verdi.
Onlarca kişinin kimlik bilgileri çalındı ve yasa dışı kredi başvurularında kullanıldı.

Vaka 3: Kripto Cüzdan Tuzakları

Telegram gruplarında sahte airdrop kampanyaları düzenlenerek, kullanıcıların private key’leri ele geçirildi.

7. Phishing Saldırılarında Yeni Trendler (2025)

• Yapay Zeka ile Sahte Ses ve Video: Gerçek kişi gibi konuşan yapay zeka ses kayıtları ile inandırıcılığı yüksek dolandırıcılıklar.
• QR Code Phishing: Restoran menüleri veya afişlerde sahte QR kodlar ile zararlı sitelere yönlendirme.
• Deepfake Kimlik Doğrulama Hileleri: Banka ve kripto borsa kimlik doğrulamalarında deepfake teknolojisinin kullanılması.

8. Phishing Sonrası Yapılması Gerekenler

1. Bilgilerinizi Değiştirin: Şifre ve güvenlik bilgilerinizi hemen yenileyin.
2. Bankayı veya İlgili Kurumu Bilgilendirin: Hesaplarınızı geçici olarak dondurun.
3. BTK Siber Olay Bildirimi: www.usom.gov.tr üzerinden phishing URL’sini bildirin.
4. Polis veya Siber Suçlar Birimine Başvurun: Delilleri (ekran görüntüleri, mesajlar) saklayın.
5. Kredi Takibi Yapın: Kimlik bilgilerinizin yasa dışı kullanımına karşı risk raporu alın.

9. Sonuç ve Öneriler

Phishing saldırıları, teknolojik olarak her geçen gün daha sofistike hale geliyor. Türkiye’de artan dijitalleşme ve mobil bankacılık kullanım oranı, saldırganlar için daha geniş bir hedef kitlesi oluşturuyor.
Bireyler kendi farkındalıklarını artırmalı, kurumlar ise hem teknolojik hem de eğitim tabanlı önlemlerini güçlendirmelidir.
Kriptomagic.com olarak, kullanıcılarımızın siber güvenliğini öncelikli hedefimiz olarak görüyor ve her zaman en güncel rehberleri sunmaya devam ediyoruz.