E-Posta Güvenliği: Spam, Phishing ve Koruma Rehberi

E-posta, siber saldırıların en yaygın giriş noktası olmaya devam ediyor. Günde 3,4 milyardan fazla phishing e-postası gönderiliyor ve tüm e-postaların yaklaşık yüzde 1,2'si kötü amaçlı içerik barındırıyor. Yapay zeka araçlarının yaygınlaşmasıyla phishing saldırıları daha sofistike ve tespit edilmesi daha zor hale geldi. Bu rehberde spam ve phishing tehditleri, nasıl tanınacakları ve korunma yöntemlerini ele alacağız.

E-Posta Tehditleri

Spam

Spam, izinsiz gönderilen toplu e-postalardır. Reklam içerikli olanlar rahatsız edici olsa da genellikle zararsızdır. Ancak spam e-postaların bir kısmı phishing veya malware taşıyıcısı olabilir.

Spam filtreleri günümüzde oldukça gelişmiş olsa da bazı mesajlar filtreleri atlatabilir. Spam klasörünüzü düzenli kontrol etmek önemlidir çünkü bazen meşru e-postalar da yanlışlıkla spam olarak işaretlenebilir.

Phishing

Phishing, sahte e-postalar yoluyla kullanıcıları kandırarak kişisel bilgilerini çalmaya yönelik saldırılardır. Saldırganlar genellikle banka, e-ticaret sitesi veya sosyal medya platformu gibi güvenilir kurumları taklit eder.

2025 yılının ilk yarısında Anti-Phishing Working Group (APWG) 2 milyondan fazla phishing saldırısı kaydetmiştir. Bu rakam önceki yıllara göre belirgin bir artış göstermektedir.

Spear Phishing

Genel phishing kampanyalarından farklı olarak spear phishing hedefli saldırılardır. Saldırgan kurbanı araştırır ve kişiselleştirilmiş mesajlar hazırlar. Örneğin şirketinizdeki bir yöneticiyi taklit ederek acil bir ödeme talimatı gönderebilir.

Bu tür saldırılar Business Email Compromise (BEC) olarak da bilinir ve 2024 yılında 2,77 milyar dolarlık kayba neden olmuştur.

Vishing ve Smishing

E-posta dışındaki kanallar da saldırı hedefi olmaktadır. Vishing (voice phishing) telefon aramalarıyla, smishing ise SMS mesajlarıyla yapılan phishing saldırılarıdır. CrowdStrike verilerine göre vishing saldırıları 2024 yılında yüzde 442 artış göstermiştir.

Yapay zeka sesli deepfake teknolojisinin yaygınlaşmasıyla telefon dolandırıcılığı daha da tehlikeli hale geldi. Saldırganlar tanıdığınız birinin sesini taklit edebiliyor.

Quishing (QR Kod Phishing)

QR kod içeren phishing saldırıları son dönemde yükselişte. Abnormal Security raporuna göre QR kod saldırıları 2023-2025 arasında yüzde 400 artmıştır. Enerji, sağlık ve üretim sektörleri en çok hedef alınan alanlar arasında yer alıyor.

Malware ve Ransomware

Kötü amaçlı yazılımlar genellikle e-posta ekleri veya bağlantıları üzerinden yayılır. Ransomware (fidye yazılımı) dosyalarınızı şifreleyerek fidye talep eder. 2025 yılında phishing kaynaklı veri ihlallerinin ortalama maliyeti 4,88 milyon dolar olarak hesaplanmıştır.

Phishing E-postalarını Tanıma

Yapay zeka araçları phishing e-postalarını daha inandırıcı hale getirse de bazı kırmızı bayraklar hala geçerliliğini koruyor.

Şüpheli Gönderici Adresi

Gönderici adresini dikkatle inceleyin. Gerçek şirketler genellikle kendi alan adlarını kullanır. Şüpheli işaretler:

• Genel e-posta sağlayıcıları ([email protected] gibi)
• Yazım hataları içeren alan adları (amaz0n.com, rnicrosoft.com)
• Fazladan kelimeler eklenmiş adresler (paypal-security.com)
• Alt alan adı hileleri (guvenlik.bankaniz.sahtesite.com)

Mobil cihazlarda gelen kutusunda yalnızca gönderici adı görünür, adres gizlidir. Şüphelendiğiniz e-postalarda gönderici adına dokunarak tam adresi görüntüleyin.

Aciliyet ve Baskı Taktikleri

Phishing e-postaları genellikle aciliyet yaratmaya çalışır:

• "Hesabınız 24 saat içinde kapatılacak"
• "Son ödeme bugün, hemen işlem yapın"
• "Güvenlik ihlali tespit edildi, şimdi şifrenizi değiştirin"
• "Bu teklif sadece bugün geçerli"

Meşru kurumlar nadiren anlık eylem talep eder. Acil görünen mesajlarda durun ve doğrudan kurumun resmi web sitesinden veya telefon numarasından iletişime geçin.

Şüpheli Bağlantılar

Bağlantılara tıklamadan önce fare imlecini üzerine getirin; gerçek URL tarayıcının alt kısmında görünür. Dikkat edilecekler:

• Kısaltılmış URL'ler (bit.ly, tinyurl)
• IP adresleri (http://192.168.1.1/giris)
• Yazım hatalı alan adları
• HTTPS yerine HTTP kullanan siteler

Özellikle finansal işlemler için e-postadaki bağlantıyı kullanmak yerine tarayıcıya adresi elle yazın.

Ek Dosya Riskleri

Beklenmedik ekleri açmayın. Tehlikeli dosya türleri:

• .exe, .scr, .bat gibi çalıştırılabilir dosyalar
• Makro içeren Office dosyaları (.docm, .xlsm)
• Sıkıştırılmış arşivler (.zip, .rar) içindeki dosyalar
• PDF dosyaları (gömülü kod içerebilir)

Fatura veya vergi belgesi gibi görünen ekler yaygın bir taktiktir. Beklediğiniz bir ek değilse göndericiye farklı bir kanaldan ulaşarak doğrulayın.

Genel Hitaplar ve Dil Hataları

Phishing e-postaları genellikle kişiselleştirme içermez:

• "Sayın Müşterimiz" veya "Değerli Kullanıcı" gibi genel ifadeler
• Adınızın yanlış yazılması
• Dilbilgisi ve yazım hataları
• Tuhaf cümle yapıları

Ancak yapay zeka araçları bu hataları azalttı. Oxford Üniversitesi araştırmasına göre AI üretimli phishing e-postaları geleneksellere göre yüzde 60 daha fazla tıklama alıyor. Dil kusursuz olsa bile diğer kırmızı bayraklara dikkat edin.

Hassas Bilgi Talepleri

Hiçbir meşru kurum e-posta yoluyla şifre, kredi kartı numarası veya kimlik numarası istemez. Bu tür talepler kesinlikle phishing göstergesidir.

E-Posta Kimlik Doğrulama Protokolleri

Kurumsal e-posta güvenliği için SPF, DKIM ve DMARC protokolleri kritik öneme sahiptir.

SPF (Sender Policy Framework)

SPF, bir alan adı için hangi sunucuların e-posta göndermeye yetkili olduğunu belirtir. Alan adınızın DNS ayarlarına TXT kaydı ekleyerek yapılandırılır.

Örnek SPF kaydı:

v=spf1 include:_spf.google.com include:mailchimp.com -all

Bu kayıt Google ve Mailchimp sunucularının alan adınız adına e-posta göndermesine izin verir, diğerlerini reddeder.

DKIM (DomainKeys Identified Mail)

DKIM, e-postalara kriptografik imza ekleyerek mesajın değiştirilmediğini doğrular. Özel anahtar gönderen sunucuda, açık anahtar DNS kaydında bulunur.

DKIM yapılandırması:

1. E-posta sağlayıcınızdan DKIM anahtarlarını alın
2. DNS'e CNAME veya TXT kaydı olarak ekleyin
3. E-posta sağlayıcınızda DKIM imzalamayı etkinleştirin

DMARC (Domain-based Message Authentication)

DMARC, SPF ve DKIM sonuçlarına göre e-postaların nasıl işleneceğini belirler. Üç politika seçeneği vardır:

• p=none: Yalnızca izleme, herhangi bir işlem yapma
• p=quarantine: Başarısız e-postaları spam klasörüne yönlendir
• p=reject: Başarısız e-postaları reddet

Önerilen uygulama:

1. p=none ile başlayın ve raporları inceleyin
2. Birkaç hafta sonra p=quarantine'e geçin
3. Sistemin düzgün çalıştığından emin olduktan sonra p=reject uygulayın

Örnek DMARC kaydı:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100

2025 Gereksinimleri

Gmail ve Yahoo, toplu e-posta gönderenlerin (günde 5000+ mesaj) SPF, DKIM ve DMARC kullanmasını zorunlu kılmaktadır. Bu gereksinimleri karşılamayan gönderenler e-postalarının engellenme veya spam olarak işaretlenme riskiyle karşı karşıyadır.

Koruma Önlemleri

İki Faktörlü Kimlik Doğrulama (2FA)

Şifreniz ele geçirilse bile 2FA ikinci bir doğrulama katmanı sağlar. Ancak klasik SMS veya TOTP tabanlı 2FA artık yeterli değil.

Adversary-in-the-Middle (AiTM) saldırıları 2FA'yı atlatabiliyor. Bu saldırılarda kurban gerçek siteyle arasında duran sahte bir sayfada oturum açar. Saldırgan, 2FA dahil tüm doğrulamayı gerçek siteye iletir ve elde ettiği oturum çerezini çalar.

Daha güvenli alternatifler:

• FIDO2/WebAuthn uyumlu güvenlik anahtarları (YubiKey gibi)
• Passkeys (geçiş anahtarları)
• Biyometrik doğrulama

Şifre Yönetimi

Her hesap için benzersiz ve güçlü şifreler kullanın. Bir hesabın ihlali diğerlerini etkilemesin.

• Minimum 12 karakter
• Büyük/küçük harf, rakam ve sembol kombinasyonu
• Sözlükte bulunabilecek kelimelerden kaçının
• Şifre yöneticisi kullanın (Bitwarden, 1Password, KeePass)

E-Posta Filtreleme

Kurumsal ortamlarda gelişmiş e-posta filtreleme çözümleri kullanın:

• Sandbox analizi ile ekleri tarama
• URL yeniden yazma ve tıklama zamanı kontrolü
• Makine öğrenimi tabanlı anomali tespiti
• Impersonation (taklit) koruması

Gmail ve Outlook'un yerleşik filtreleri bireysel kullanıcılar için iyi bir temel sağlar ancak kurumsal ortamlarda ek katmanlar gerekebilir.

Güvenlik Farkındalığı Eğitimi

İnsan hatası güvenlik ihlallerinin yüzde 74'ünde rol oynuyor. Düzenli eğitimler ve simüle edilmiş phishing testleri çalışanların farkındalığını artırır.

Etkili eğitim programları:

• Gerçek phishing örneklerinin analizi
• Düzenli aralıklarla simüle edilmiş phishing testleri
• Şüpheli e-postaları bildirme prosedürleri
• Güncel tehdit trendleri hakkında bilgilendirme

Yedekleme

Ransomware saldırılarına karşı düzenli yedekleme kritik öneme sahiptir. 3-2-1 kuralını uygulayın:

• 3 kopya veri
• 2 farklı ortam (disk ve bulut gibi)
• 1 kopya farklı konumda (offsite)

Yedeklemelerin çalıştığını düzenli olarak test edin.

Şüpheli E-posta Aldığınızda

Phishing şüphesi taşıyan bir e-posta aldığınızda şu adımları izleyin:

Duraksayın

Acil eylem talep eden e-postalarda bile durun ve düşünün. Saldırganlar panik yaratarak mantıklı düşünmenizi engellemeye çalışır.

İnceleyin

• Gönderici adresini kontrol edin
• Bağlantıları tıklamadan inceleyin
• Ekleri açmayın
• İçerikteki tutarsızlıkları arayın

Doğrulayın

Şüpheleniyorsanız e-postadaki bilgileri kullanmadan doğrudan kurumla iletişime geçin. Banka web sitesine tarayıcıdan girin veya kartvizitinizdeki numarayı arayın.

Bildirin

Phishing e-postalarını bildirmek hem sizi hem de başkalarını korur:

• Gmail'de "Phishing olarak bildir" seçeneğini kullanın
• Kurumsal ortamda IT departmanına iletin
• APWG'ye [email protected] adresine iletebilirsiniz

Tıkladıysanız

Phishing bağlantısına tıkladıysanız veya bilgilerinizi girdiyseniz:

1. İlgili hesapların şifrelerini hemen değiştirin
2. 2FA etkinleştirin veya güncelleyin
3. Banka hesaplarınızı izleyin
4. Kimlik hırsızlığı koruma hizmetini değerlendirin
5. IT departmanınıza bildirin

Gelecek Trendleri

Yapay Zeka Tehditleri

Yapay zeka phishing e-postalarını daha inandırıcı hale getiriyor. Araştırmalar, phishing e-postalarının yüzde 82'sinden fazlasının AI üretimi içerik barındırdığını gösteriyor. ChatGPT'nin çıkışından bu yana phishing saldırıları yüzde 4.151 artış gösterdi.

Deepfake teknolojisi sesli ve görüntülü phishing saldırılarında da kullanılmaya başlandı. Raporlar kuruluşların yüzde 30'unun 2024'te deepfake sesli saldırı girişimiyle karşılaştığını gösteriyor.

Çok Kanallı Saldırılar

Modern phishing kampanyaları tek bir kanal yerine e-posta, SMS, telefon ve sosyal medyayı birlikte kullanıyor. Bir saldırı önce e-posta ile başlayıp telefon aramasıyla devam edebilir.

Zero Trust Yaklaşımı

Kurumsal güvenlikte Zero Trust (Sıfır Güven) modeli yaygınlaşıyor. Bu yaklaşımda hiçbir kullanıcı veya cihaz varsayılan olarak güvenilir kabul edilmez; her erişim isteği doğrulanır.

Sık Sorulan Sorular

Spam ve phishing arasındaki fark nedir?

Spam istenmeyen toplu e-postalardır ve çoğunlukla reklam içerir. Phishing ise kullanıcıları kandırarak bilgi çalmayı amaçlayan hedefli saldırılardır. Spam rahatsız edici, phishing tehlikelidir.

Phishing e-postasını nasıl anlayabilirim?

Şüpheli gönderici adresi, aciliyet yaratan dil, genel hitaplar, şüpheli bağlantılar ve hassas bilgi talepleri başlıca göstergelerdir. AI üretimi içerikler dil hatalarını azaltsa da diğer kırmızı bayraklar geçerliliğini korur.

2FA yeterli koruma sağlıyor mu?

SMS tabanlı 2FA artık yeterli değil. AiTM saldırıları oturum çerezlerini çalarak 2FA'yı atlatabiliyor. FIDO2 güvenlik anahtarları veya passkeys daha güvenli alternatifler sunuyor.

SPF, DKIM, DMARC zorunlu mu?

Bireysel kullanıcılar için zorunlu değil ancak alan adınızdan e-posta gönderiyorsanız şiddetle önerilir. Toplu e-posta gönderenler için Gmail ve Yahoo 2024'ten itibaren zorunlu tutmaktadır.

Phishing kurbanı oldum, ne yapmalıyım?

Hemen etkilenen hesapların şifrelerini değiştirin, 2FA etkinleştirin, banka hesaplarınızı izleyin ve IT departmanınıza bildirin. Kimlik hırsızlığı riski varsa kredi izleme hizmetlerini değerlendirin.

Mobil cihazlarda phishing nasıl tanınır?

Mobil cihazlarda gönderici adresi gizli kalabilir; adı görmek için dokunun. Bağlantıları açmadan önce basılı tutarak URL'yi görüntüleyin. Kısaltılmış URL'lere özellikle dikkat edin.

Şirketimizi phishing saldırılarından nasıl korurum?

Çok katmanlı yaklaşım uygulayın: gelişmiş e-posta filtreleme, SPF/DKIM/DMARC yapılandırması, düzenli güvenlik eğitimleri, simüle edilmiş phishing testleri ve olay müdahale planları oluşturun.