Phishing E-postasını 10 Saniyede Nasıl Anlarsınız?
Her gün 3.4 milyar phishing e-postası gönderiliyor. Bu makalede, sahte e-postaları 10 saniyede tanımanızı sağlayacak 10 kritik ipucunu gerçek örneklerle açıklıyoruz.
Phishing E-postası Nedir?
Phishing (oltalama), saldırganların güvenilir bir kaynaktan — bankanız, IT departmanınız, sosyal medya platformu veya bir kargo firması — geliyormuş gibi görünen sahte e-postalar göndererek kişisel bilgilerinizi, şifrelerinizi veya finansal verilerinizi çalmaya çalıştığı bir siber saldırı yöntemidir.
IBM'in 2024 Güvenlik Raporuna göre tüm veri ihlallerinin %82'si insan hatasından kaynaklanmaktadır. Phishing e-postaları bu hatanın en büyük tetikleyicisidir. Peki bu e-postaları nasıl tanıyacaksınız?
10 Kritik Phishing Göstergesi
Gönderen E-posta Adresini Kontrol Edin
En kritik adım. Adı değil, domain'i inceleyin.
Bir e-postanın gerçek olup olmadığını anlamanın en hızlı yolu gönderen adresinin domain kısmına bakmaktır. Saldırganlar görünen ismi istediği gibi ayarlayabilir, ancak gerçek domain genellikle ele verir.
Gerçek dünya örnekleri:
it-destek@altaysec-tr.net→ SAHTE (altaysec.com.trolmalı)noreply@goog1e.com→ SAHTE ("l" değil "1" rakamı)security@apple-id-verify.com→ SAHTE (apple.comolmalı)bildirim@trendyol.com→ GERÇEK
Bu taktik "typosquatting" veya "domain spoofing" olarak bilinir. Saldırganlar size benzer alan adları alır: tire eklerler, harf yerine rakam kullanırlar, farklı uzantı seçerler (.net, .xyz, .online vs. .com.tr).
Yapay Acelecilik ve Tehdit Dili
Panik yaratmak saldırganın en büyük silahıdır.
Phishing e-postaları neredeyse her zaman acele yaratır. "24 saat içinde", "hemen", "son şansınız", "hesabınız devre dışı bırakılacak" gibi ifadeler sizi düşünmeden tıklamaya iter. Bu psikolojik manipülasyon taktiğine aciliyet manipülasyonu denir.
Gerçek kurumlar — bankanız, IT departmanınız, sosyal medya platformları — size nadiren bu kadar kısa süre verir. Şüphelendiğinizde bekleyin, durumu kurum ile doğrudan iletişim kurarak doğrulayın.
Genel Hitap: "Sayın Kullanıcı"
Gerçek kurumlar genellikle sizi isminizle anar.
"Sayın müşterimiz", "Dear Customer", "Değerli kullanıcı" gibi genel hitaplar şüphe uyandırmalıdır. Bankanız, abonelik hizmetleri ve kurumsal sistemler genellikle hesabınızda kayıtlı adınızı kullanır: "Sayın Ahmet Yılmaz".
Not: İsimli hitap phishing olmadığını garanti etmez — veri ihlallerinden elde edilen isimler phishing e-postalarında da kullanılabilir. Ancak isimsiz hitap önemli bir uyarı işaretidir.
Linkleri Tıklamadan Önce Üzerine Gelin
Mouse ile hover yapın, gerçek URL'yi görün.
Bir e-postadaki linkin üzerine tıklamadan geldiğinizde (hover), tarayıcınızın sol alt köşesinde gerçek hedef URL görünür. "Hesabımı Doğrula" yazısının arkasında login.altaysec-verify.xyz/phish?ref=12345 gibi şüpheli bir adres olabilir.
Mobil cihazlarda linki uzun basarak önizleyebilirsiniz. Her zaman gidecekleriniz gerçek domain'e dikkat edin.
Beklenmedik Ek Dosyalar
.exe, .zip, .docm dosyaları tehlikeli olabilir.
Beklenmediğiniz eklentiler — özellikle .exe, .zip, .docm, .xlsm gibi aktif içerik barındıran dosyalar — açılmamalıdır. Fatura.pdf.exe gibi double extension'a dikkat edin.
Yazım Hataları ve Garip Dil
Phishing e-postaları genellikle hatalı Türkçe içerir.
Profesyonel kurumlar e-postalarını dikkatlice hazırlar. Beklenmedik yazım hataları, garip cümle yapısı veya otomatik çeviri hissi veren metinler şüphelenmenizi gerektiren işaretlerdir.
Ancak son yıllarda yapay zeka desteğiyle hazırlanan phishing e-postaları çok daha profesyonel görünebiliyor. Yazım hatası olmayan e-postalar da phishing olabilir.
Kişisel Bilgi veya Şifre Talebi
Hiçbir meşru kurum e-posta ile şifre istemez.
Altın kural: Bankanız, IT departmanınız veya herhangi bir meşru kurum e-posta yoluyla şifrenizi, PIN'inizi veya tam kredi kartı bilgilerinizi asla istemez. Bu talebi içeren her e-posta kesinlikle şüphelidir.
Beklenmedik Ödül veya Kazanç
Katılmadığınız çekilişten kazanamazsınız.
"Çekilişi kazandınız!", "Google sizi seçti", "50.000 TL ödülünüzü talep edin" — katılmadığınız bir çekilişten kazandığınızı bildiren her mesaj sahtedir. Bu tür mesajlar kişisel bilgi toplamak için kullanılır.
Resmi Kanal Dışı İletişim Talebi
WhatsApp, Telegram veya kişisel mail ile devam ister.
"Bu maili yanıtlamayın, WhatsApp'tan devam edin" gibi talepler büyük bir uyarı işaretidir. Gerçek kurumlar kendi resmi kanallarını kullanır.
Şüphe Duyduğunuzda Kurum ile Doğrulayın
Tıklamayın — doğrudan arayın.
Herhangi bir e-postadan şüpheleniyorsanız yapmanız gereken tek şey: o e-postadaki hiçbir linke tıklamadan, telefon rehberinizden veya resmi web sitesinden kurumu arayın. "BT departmanı gerçekten mi bu e-postayı gönderdi?" sorusunu sorun.
Sıkça Sorulan Sorular
Phishing e-postası açarsam ne olur?
Sadece açmak genellikle zararsızdır. Asıl tehlike linklere tıklamak ve bilgi girmektir. Bazı e-postalar açıldığında izleme pikseli ile "okundu" bildirimi gönderir, bu da saldırganın aktif bir hesap bulduğunu anlamasını sağlar.
Spam filtresi phishing e-postalarını yakalar mı?
Modern spam filtreleri phishinglerin büyük çoğunluğunu yakalar. Ancak sofistike saldırılar — özellikle spear phishing (kişiye özel) — filtreleri atlayabilir. Teknik koruma yeterli değildir; insan farkındalığı şarttır.
İş e-postamı da phishinge karşı korumalı mıyım?
Evet, hatta daha fazla. İş e-postanız şirket verilerine, müşteri bilgilerine ve finansal sistemlere erişim sağlayabilir. BEC (Business Email Compromise) saldırıları şirketlere yılda milyarlarca dolar zarara yol açmaktadır.
10 soruluk phishing testi ile gerçek farkındalık seviyenizi ölçün.