Dijital dünyada artan çevrim içi işlem hacmiyle birlikte siber suçlar da aynı hızla gelişiyor. Bu tehditlerin en yaygın ve tehlikelilerinden biri olan phishing (oltalama), kullanıcıları kandırarak kişisel veya finansal bilgilerini ele geçirmeyi amaçlayan bir saldırı türüdür.
Phishing, basit bir e-posta dolandırıcılığından çok daha fazlasıdır. Artık kurumsal e-postalar, sahte bankacılık siteleri, sosyal medya mesajları ve hatta yapay zekâ destekli sahte çağrılar yoluyla gerçekleştirilmektedir.
Phishing Nedir?
Phishing (okunuşu: “fişing”), Türkçede kimlik avı olarak bilinir. Saldırganlar, güvenilir bir kaynaktan geliyormuş gibi görünen sahte mesajlar göndererek, kullanıcıları şifre, kredi kartı bilgisi veya kimlik numarası gibi hassas bilgileri paylaşmaya ikna etmeye çalışır.
Bu yöntem adını “fishing (balık tutma)” kelimesinden alır — farkı, oltaya yem olarak sahte bir kimlik veya mesaj koymasıdır.
Phishing saldırılarının amacı genellikle:
- Finansal kazanç elde etmek
- Kimlik bilgilerini çalmak
- Kurumsal sistemlere sızmak
- Fidye veya dolandırıcılık zinciri başlatmaktır.
Phishing Nasıl Yapılır?
Phishing saldırıları genellikle tek bir teknikten ziyade birden fazla sosyal mühendislik taktiğinin bir araya gelmesiyle gerçekleşir. Saldırganlar önce hedef hakkında bilgi toplar, güven oluşturmaya yönelik mesajlar hazırlar ve kurbanı harekete geçirecek aciliyet duygusu yaratır.
Bu hazırlık aşamasının ardından sahte formlar, bağlantılar veya sesli aramalar kullanılarak hedefin hassas bilgileri ele geçirilmeye çalışılır. Aşağıda en yaygın kullanılan yöntemler yer alıyor:
- Sahte e-postalar: Banka, kargo veya popüler markalar adına gönderilen e-postalar.
- Klonlanmış web siteleri: Gerçek markaların sitelerine birebir benzeyen sahte siteler.
- SMS (Smishing): Kısa mesaj üzerinden gönderilen linklerle yönlendirme.
- Sosyal medya mesajları: Sahte profiller veya reklamlar aracılığıyla.
- Telefon aramaları (Vishing): Gerçek kurumları taklit eden sesli aramalar.
Phishing Saldırısı Türleri
Phishing saldırıları her zaman aynı biçimde ortaya çıkmaz; saldırganlar, hedefin türüne ve amacına göre farklı stratejiler uygular. Bazı saldırılar geniş kitleleri hedef alırken, bazıları özel olarak belirlenmiş kişilere veya kurumlara yöneliktir.
Kimi zaman e-postalar üzerinden kimlik bilgileri çalınır, kimi zaman da telefon veya SMS aracılığıyla aciliyet duygusu yaratılarak kullanıcıdan işlem yapması istenir. Günümüzde phishing saldırıları yalnızca bireylere değil, kurumsal yapılara da ciddi tehdit oluşturmaktadır.
Phishing saldırıları birçok farklı biçimde gerçekleşir. Aşağıdaki tablo en sık rastlanan türleri ve hedeflerini özetler:
| Phishing Türü | Açıklama | Hedef Kitle |
| E-posta Phishing | Sahte e-posta bağlantılarıyla kimlik bilgisi toplama | Bireysel kullanıcılar |
| Spear Phishing | Hedef odaklı, kişisel bilgilerle özelleştirilmiş saldırı | Şirket çalışanları, yöneticiler |
| Whaling | Üst düzey yönetici veya finans sorumlularını hedefleyen saldırı | C-level yöneticiler |
| Clone Phishing | Gerçek bir e-postanın kopyalanarak yeniden gönderilmesi | Mevcut müşteri veritabanları |
| Smishing / Vishing | SMS veya telefon araması yoluyla sahte yönlendirme | Mobil kullanıcılar |
Phishing’in En Yaygın Belirtileri
Bir mesajın veya sitenin kimlik avı amaçlı olduğunu anlamak için şu belirtiler takip edilebilir:
- Gönderici adresi garip veya hatalı yazılmıştır.
- Mesajda panik oluşturacak “acil işlem yapın” ifadesi yer alır.
- Bağlantılar, markanın resmi alan adıyla uyuşmaz.
- Dil bilgisi veya yazım hataları bulunur.
- İstenen bilgiler, normalde talep edilmeyen türdendir (örneğin T.C. kimlik numarası).
Phishing Saldırısından Nasıl Korunulur?
Phishing saldırılarından korunmak yalnızca teknik çözümlerle değil, farkındalık ve davranışsal güvenlikle mümkündür.
1. Gönderici bilgilerini mutlaka doğrula.
Resmî kurumlar genellikle kişisel bilgi istemez.
2. URL’yi dikkatle kontrol et.
“https://” protokolü ve alan adının resmi uzantıda olması gerekir.
3. Bağlantılara tıklamadan önce farenin üzerine gelerek kontrol et.
Yönlendirilen adresi mutlaka incele.
4. Şüpheli e-posta veya mesajları bildir.
Kurumların güvenlik birimleri veya CERT ekiplerine gönder.
5. 2FA (iki aşamalı doğrulama) kullan.
Kopyalanan şifreyle giriş yapılsa bile erişim engellenir.
Kurumlar İçin Phishing Risk Yönetimi
Phishing yalnızca bireyleri değil, kurumları da hedef alır.
Kurumsal ölçekte bir oltalama saldırısı, müşteri verilerinin sızmasına, itibara zarar gelmesine ve regülasyon cezalarına yol açabilir.
Bu nedenle kurumlar, Fraud Risk Yönetimi, AML uyumu ve tehdit istihbaratı süreçlerini entegre biçimde yürütmelidir.
Stranas’ın Fraud Risk Yönetimi çözümü, kurumların oltalama kaynaklı dolandırıcılık vakalarını gerçek zamanlı tespit etmesine yardımcı olur. Yapay zekâ destekli model, her işlem için risk skorlaması yapar ve şüpheli davranışları önceden engeller.
Phishing ve Diğer Siber Saldırılar Arasındaki Fark
Phishing, genellikle sosyal mühendislik tabanlı bir saldırıdır.
Ancak diğer teknik saldırı türleriyle karıştırılmaması gerekir.
| Saldırı Türü | Tanım | Hedef |
| Phishing (Kimlik Avı) | Kullanıcıyı kandırarak bilgi toplama | İnsan faktörü |
| Malware | Cihaza zararlı yazılım yükleme | Sistem dosyaları |
| Ransomware | Verileri şifreleyip fidye talep etme | Kurumsal ağlar |
| DDoS | Sistemi aşırı trafikle çökertme | Sunucu ve ağ altyapısı |
Bu fark, phishing’in teknik değil psikolojik manipülasyon temelli olduğunu gösterir.
Gerçek Bir Phishing Senaryosu
Bir banka müşterisine “hesabınızda şüpheli işlem tespit edildi” başlıklı bir e-posta gelir. Kullanıcı, mesajdaki bağlantıya tıklayarak banka sitesine benzeyen sahte bir forma yönlendirilir. Formda T.C. kimlik numarası ve şifre girildiğinde bilgiler saldırganın eline geçer.
Bu tür olaylar, her yıl milyonlarca liralık zarara yol açmaktadır.
Phishing’e Karşı Alınabilecek Kurumsal Önlemler
- Çalışan farkındalık eğitimleri düzenlenmeli.
- E-posta filtreleme sistemleri güncel tutulmalı.
- SPF, DKIM ve DMARC gibi e-posta doğrulama protokolleri kullanılmalı.
- Şüpheli e-postalar sandbox ortamında test edilmeden açılmamalı.
- Uyarı sistemleri, oltalama URL’lerini anında engelleyecek şekilde yapılandırılmalı.
Phishing Hakkında Sıkça Sorulan Sorular
Phishing, kullanıcıyı kandırarak kişisel veya finansal bilgilerini çalmayı amaçlayan kimlik avı saldırısıdır.
Genellikle sahte e-postalar, SMS’ler veya web siteleri aracılığıyla gerçekleştirilir. Amaç kullanıcıyı yanlış yönlendirmektir.
Gönderici adresini kontrol etmek, 2FA kullanmak ve şüpheli bağlantılara tıklamamak en etkili korunma yöntemleridir.
Hemen ilgili kurumla iletişime geçilmeli, şifreler değiştirilmelidir. Finansal işlemler de kontrol edilmelidir.
Stranas, yapay zekâ destekli Fraud Risk Yönetimi altyapısıyla phishing kaynaklı dolandırıcılık girişimlerini anında tespit eder ve işlem risk skorlamasıyla otomatik olarak engeller.
Phishing saldırıları, dijital güvenliğin en sinsi tehditlerinden biridir.
Bireylerin farkındalığı ve kurumların teknoloji tabanlı savunma sistemleri birlikte çalışmadıkça tam koruma mümkün değildir.
Bu nedenle phishing yalnızca bir siber saldırı değil, aynı zamanda bir davranışsal farkındalık problemidir.
