SMS Dolandırıcılığı Nasıl Anlaşılır? Smishing ve OTP Tuzakları

Smishing Nedir?

Smishing (SMS + Phishing), saldırganların SMS mesajları aracılığıyla kişisel bilgi, kimlik bilgisi veya finansal veri çalmaya çalıştığı bir sosyal mühendislik taktiğidir. "Phishing'in SMS versiyonu" olarak da tanımlanabilir.

E-posta phishinginden farklı olarak smishing daha kısa ve doğrudan mesajlar içerir. Telefon numaraları kitlesel olarak elde edilebildiğinden saldırganlar çok sayıda kişiye aynı anda ulaşabilir.

Yaygın Smishing Türleri

1. Sahte Banka Bildirimi

En yaygın smishing türü. Bankadan geldiği iddia edilen SMS, hesabınıza şüpheli giriş yapıldığını söyler ve acil işlem yapmanızı ister.

❌ SAHTE (Phishing)

ZiraatBankasi

ZiraatBnk: Hesabınıza farklı IP'den giriş! Kartınızı korumak için: bit.ly/zraat-guv

✅ GERÇEK

GARANTI

Garanti: 12.04.2026 tarihli 250 TL işleminiz onaylandı. Sorularınız için 444 0 333.

Sahte olanın göstergeleri: kısaltılmış link (bit.ly), "farklı IP" gibi teknik ama muğlak ifade, acele uyarı. Gerçek olanın özellikleri: sadece bilgilendirme, link yok, resmi telefon numarası.

2. Sahte Kargo Bildirimi

"Paketiniz gümrükte, 18 TL ödeme yapın" şeklinde gelen mesajlar yaygın bir smishing türüdür. PTT, Yurtiçi, MNG gibi kargo firmalarını taklit ederler.

Kural: Gerçek kargo firmalar SMS'te ödeme linki göndermez. Gümrük ödemesi varsa resmi kargo firmasının web sitesinden veya 444'lü numaralardan teyit edin.

3. OTP (Tek Kullanımlık Şifre) Hırsızlığı

Bu saldırı iki aşamalıdır. Önce saldırgan sizin şifrenizi başka yollarla (phishing mail veya veri ihlaliyle) ele geçirir. Ardından hesabınıza giriş dener — bu sırada gerçek OTP kodu telefonunuza gelir. Hemen ardından sizi arayan saldırgan "banka güvenlik birimi" kılığına girerek kodu talep eder.

🚨

Kritik Kural: OTP Kodunu KİMSEYLE Paylaşmayın

Bankanız, operatörünüz veya herhangi bir kurum sizi arayarak OTP kodu, SMS kodu veya şifre ASLA istemez. Bu talebi içeren her arama bir saldırıdır.

4. Sahte Ödül / Çekiliş SMS'leri

"Süpermarket çekilişini kazandınız, 5.000 TL hediye çekinizi almak için tıklayın" tarzı mesajlar. Link tıklandığında kişisel bilgi veya ödeme bilgisi istenir.

Smishing Göstergeleri — Kontrol Listesi

Kısaltılmış veya şüpheli link — bit.ly, tinyurl, veya sahte domain. Bankalar ve resmi kurumlar kısa link kullanmaz.
Ödeme talebi — SMS ile ödeme linki gönderilmez. Her zaman doğrudan resmi uygulamadan yapın.
Sahte gönderen adı — Gönderen "Ziraat Bankası" görünse de bu alfanümerik gönderici adı herkes tarafından taklit edilebilir.
Kişisel bilgi talebi — Bankalar SMS ile TC kimlik numarası, kart PIN veya şifre istemez.
Bilinmeyen numara — Banka veya kurum size genellikle aynı tanıdık numaradan ulaşır.
Yazım ve dil hataları — Garip Türkçe, otomatik çeviri hissi.

Korunma Yöntemleri

Asla Linke Tıklamadan Doğrulayın

Herhangi bir SMS'te şüpheli bir link görürseniz: o linke tıklamadan kurumun resmi numarasını arayın veya resmi uygulamasından kontrol edin.

Resmi Numaraları Kaydedin

Bankanızın, operatörünüzün ve sık kullandığınız kurumların resmi müşteri hizmetleri numaralarını telefonunuza kaydedin. Size bu numaradan ulaşıp ulaşmadığını kontrol edebilirsiniz.

SMS Şikayet Hattı

GTB (Siber Suç) ve BTK'nın şikayet sistemine (ihbar.gov.tr) bildirin. Ayrıca BTK SMS Şikayet sistemine göndererek raporlayabilirsiniz.

Sıkça Sorulan Sorular

Gerçek banka SMS'i nasıl anlarım?

Gerçek banka SMS'leri: link içermez (sadece telefon numarası), ödeme yapmağa yönlendirmez, OTP kodunu başka biriyle paylaşmanızı istemez ve genellikle tanıdık alfanümerik gönderici ismiyle gelir.

Smishing SMS'e tıkladım, ne yapmalıyım?

Kişisel bilgi girmediyseniz panik yapmayın — sadece linke gitmek genellikle zararsızdır. Bilgi girdiyseniz hemen şifrelerinizi değiştirin ve bankanızı arayın. Cihazınızı güvenlik yazılımıyla tarayın.