Her gün milyonlarca kişi phishing saldırılarının hedefi oluyor. 2025'in ikinci çeyreğinde dünya genelinde 1,13 milyon phishing saldırısı kaydedildi ve bu rakam sürekli artıyor. Yapay zeka teknolojileriyle birlikte bu saldırılar artık o kadar sofistike hale geldi ki, deneyimli internet kullanıcıları bile tuzağa düşebiliyor.
Phishing Nedir?
Phishing (oltalama), siber suçluların hassas bilgilerinizi çalmak için güvenilir kurumları taklit ettiği bir sosyal mühendislik saldırısıdır. Saldırganlar sahte e-postalar, mesajlar veya web siteleri kullanarak kullanıcı adı, şifre, kredi kartı bilgisi, banka hesap numarası gibi verilere erişmeye çalışır.
Terim, İngilizce'deki "fishing" (balık tutma) kelimesinden türetilmiştir. Nasıl balıkçı oltasına yem takıp balığın yutmasını beklerse, siber suçlular da cazip görünen tuzaklar kurarak kurbanların hassas bilgilerini paylaşmasını bekler.
2025-2026 Phishing İstatistikleri
Rakamlar durumun ciddiyetini gözler önüne seriyor:
Anti-Phishing Working Group (APWG) verilerine göre 2024 yılında 4,8 milyon phishing saldırısı kaydedildi. 2025 projeksiyonlarına göre bu rakamın 5 milyonu aşması bekleniyor.
2024'ün ikinci yarısında phishing e-posta mesajlarında yüzde 202 artış yaşandı. Aynı dönemde kimlik bilgisi hırsızlığı saldırıları yüzde 703 arttı.
IBM verilerine göre, phishing saldırısından kaynaklanan ortalama veri ihlali maliyeti 4,88 milyon dolar. Business Email Compromise (BEC) saldırıları 2024'te 2,77 milyar dolarlık kayba neden oldu.
Phishing Türleri
Saldırganlar farklı kanallar ve teknikler kullanarak hedeflerine ulaşmaya çalışıyor:
E-posta Phishing
En yaygın ve en eski phishing türü. Saldırganlar rastgele veya hedefli olarak e-posta göndererek kurbanları kandırmaya çalışır. Mesajlar genellikle banka, kargo şirketi, sosyal medya platformu veya devlet kurumu gibi tanınmış kaynaklardan geliyormuş gibi görünür.
Tipik bir e-posta phishing senaryosu: "Hesabınızda şüpheli işlem tespit edildi. Güvenliğiniz için hemen giriş yaparak kimliğinizi doğrulayın." Bu mesajdaki link sizi sahte bir siteye yönlendirir ve girdiğiniz bilgiler saldırganın eline geçer.
Spear Phishing (Hedefli Oltalama)
Genel phishing'den farklı olarak spear phishing, belirli bir kişi veya kuruluşu hedef alır. Saldırgan, hedefi hakkında araştırma yaparak kişiselleştirilmiş ve inandırıcı mesajlar hazırlar.
Gerçek proje adları, ekip isimleri, takvim bilgileri kullanılarak hazırlanan bu mesajlar çok daha ikna edici olur. Örneğin, "Merhaba Ahmet, dün toplantıda konuştuğumuz proje dosyasını ekte bulabilirsin" gibi bir mesaj, genel bir phishing e-postasından çok daha etkili olabilir.
Whaling (Balina Avı)
Üst düzey yöneticileri, CEO'ları ve kritik karar verme yetkisine sahip kişileri hedef alan phishing türü. Amaç, yetki ve erişim gücü yüksek kişileri kandırarak büyük tutarlı para transferleri veya kritik verileri ele geçirmek.
Bu saldırılarda genellikle acil finansal işlem talepleri, gizli proje bilgileri veya yasal konular gibi konular işlenir. CEO'dan gelmiş gibi görünen "acil havale talebi" e-postaları whaling saldırılarının klasik örneği.
Smishing (SMS Phishing)
SMS üzerinden gerçekleştirilen phishing saldırıları. Mobil cihaz kullanımının artmasıyla smishing de yaygınlaştı.
Bankadan, kargo şirketinden veya operatörden geliyormuş gibi görünen mesajlar genellikle bir link içerir. "Paketiniz teslim edilemedi. Detaylar için tıklayın" veya "Hesabınız bloke edildi. Açmak için giriş yapın" gibi mesajlar tipik smishing örnekleri.
Vishing (Voice Phishing)
Telefon aramaları üzerinden yapılan phishing. Saldırgan, banka çalışanı, teknik destek personeli veya resmi kurum temsilcisi gibi davranarak kurbanı arar.
2024 yılında kuruluşların yüzde 30'u vishing veya ses deepfake girişimi yaşadı. Yapay zeka ses teknolojisinin gelişmesiyle bu saldırıların 2025-2026'da artması bekleniyor.
Quishing (QR Kod Phishing)
QR kodların yaygınlaşmasıyla ortaya çıkan yeni tehdit. Saldırganlar, meşru görünen QR kodlar oluşturarak kullanıcıları zararlı sitelere yönlendiriyor.
Abnormal Security verilerine göre QR kod saldırıları 2023-2025 arasında yüzde 400 arttı. Restoranlarda, halka açık alanlarda veya basılı materyallerdeki QR kodlar manipüle edilebiliyor.
Yapay Zeka Destekli Phishing: Yeni Tehdit
2025 tehdit istihbaratı analizlerine göre phishing e-postalarının yüzde 82,6'sı artık bir şekilde yapay zeka ile üretilen içerik kullanıyor. Bu durum, saldırıların tespit edilmesini çok daha zorlaştırıyor.
Yıllarca phishing e-postasının en belirgin işareti bozuk dilbilgisi veya garip ifadelerdi. Yapay zeka bu göstergeyi tamamen ortadan kaldırdı. Saldırganlar artık büyük dil modellerini (LLM) kullanarak kusursuz, bağlamsal olarak tutarlı ve son derece ikna edici e-postalar üretebiliyor.
Oxford Üniversitesi'nin 2024 araştırmasına göre yapay zeka ile üretilen phishing e-postaları, geleneksel olanlara göre yüzde 60 daha yüksek tıklanma oranına sahip. Bazı raporlar, yapay zeka araçları sayesinde başarılı phishing dolandırıcılıklarında yüzde 400 artış olduğunu gösteriyor.
Deepfake teknolojisi de yeni bir tehdit boyutu ekliyor. Sahte ses kayıtları ve video içerikler, saldırıların inandırıcılığını artırıyor. Bir yöneticinin sesini taklit eden yapay zeka ile yapılan vishing aramaları artık mümkün.
Phishing E-postasını Nasıl Tanırsınız?
Yapay zeka saldırıları zorlaştırsa da dikkatli bir göz hâlâ çoğu phishing girişimini tespit edebilir:
Gönderen Adresini İnceleyin
Tehlikenin ilk işareti genellikle gönderen adresidir. Saldırganlar güvenilir bir kaynaktan gelmiş gibi görünen ama yanlış yazılmış adresler kullanır. "[email protected]" yerine "[email protected]" gibi. Genellikle gerçek adresle sahte adres arasında tek harf farkı vardır.
Homografik sahtekarlığa dikkat edin. Bazı harfler görsel olarak ayırt edilemeyecek şekilde farklı olabilir. "O" harfi yerine "0" (sıfır), "l" harfi yerine "1" kullanılabilir.
Aciliyet ve Baskı Dilini Fark Edin
"Hemen!", "Son uyarı!", "Hesabınız kapanıyor!" gibi ifadeler alarm zili olmalı. Saldırganlar sizi düşünmeden hızlı karar almaya sevk etmek ister. Meşru kurumlar nadiren bu kadar baskıcı bir dil kullanır.
Gecikmiş fatura tehditleri, yüksek faiz cezaları, hesap askıya alma uyarıları tipik baskı taktikleri arasında.
Beklenmedik İsteklere Şüpheyle Yaklaşın
Hiçbir banka e-posta veya SMS ile şifrenizi, kart bilgilerinizi veya güvenlik kodlarınızı istemez. Bu tür bilgi talepleri her zaman şüpheli olmalı.
Tanımadığınız biri para, hediye kartı veya doğrulama kodu istiyorsa bu neredeyse kesinlikle bir dolandırıcılık girişimidir.
Yazım ve Format Hatalarını Kontrol Edin
Her ne kadar yapay zeka bu hataları azaltmış olsa da hâlâ bazı phishing mesajları tutarsızlıklar, imla sorunları ve standart dışı görseller içerir. Profesyonel bir kurumdan gelen e-postada belirgin hatalar varsa dikkatli olun.
Hitap Şeklini Değerlendirin
Normalde adınızla hitap eden bir servis "Değerli Müşterimiz" diye başlıyorsa şüphelenin. Saldırganlar genellikle toplu gönderim yaptığı için kişiselleştirilmiş hitap kullanamaz.
Sahte Web Sitelerini Tanıma
Phishing e-postalarındaki linkler genellikle sahte sitelere yönlendirir. Bu siteleri tanımak hayati önem taşır:
URL'yi Dikkatlice İnceleyin
Bir linke tıklamadan önce fare imlecini üzerine getirerek gerçek adresi görün. Bildiğiniz adresle karşılaştırın. ".gov.tr" yerine ".gov-tr.com" gibi aldatıcı uzantılara dikkat edin.
Masaüstünde linke sağ tıklayıp panoya kopyalayarak inceleyebilirsiniz. iPhone veya iPad'de linke uzun basarak açılan menüden gerçek adresi görebilirsiniz.
Kısaltılmış URL'lere Dikkat
bit.ly, ow.ly, tinyurl.com gibi kısaltılmış linkler gerçek adresi gizler. E-posta mesajlarındaki kısaltılmış URL'lere tıklamaktan kaçının. Gerçekten merak ediyorsanız, URL genişletme araçlarıyla önce kontrol edin.
HTTPS Yeterli Değil
Yeşil kilit simgesi veya HTTPS artık güvenlik garantisi değil. Saldırganlar da SSL sertifikası alabilir. HTTPS olması sitenin güvenilir olduğu anlamına gelmez, sadece bağlantının şifreli olduğunu gösterir.
Site Tasarımını Değerlendirin
Sahte siteler genellikle orijinalin birebir kopyası olmaya çalışır ama bazı detaylar kaçar. Logonun kalitesi, yazı tipleri, düzen farklılıkları ipucu verebilir. Ancak yapay zeka ile üretilen siteler bu açıdan da gelişti.
Türkiye'den Gerçek Phishing Vakaları
Türkiye'de de ciddi phishing vakaları yaşanıyor:
YouTuber Ruhi Çenet, phishing saldırısıyla YouTube hesabını kısa süreliğine kaybetti. Araştırmalar, siber korsanların kişisel bilgisayarına phishing yöntemiyle sızdığını ortaya koydu.
2022'de Fenerbahçe Spor Kulübü'nün resmi sosyal medya hesapları phishing saldırısı sonucu kısa süreliğine ele geçirildi.
Bu vakalar, phishing'in sadece sıradan kullanıcıları değil, yüksek profilli hesapları da hedef aldığını gösteriyor.
Korunma Stratejileri
Phishing saldırılarından korunmak için çok katmanlı bir yaklaşım gerekiyor:
Teknik Önlemler
İki faktörlü doğrulama (2FA) mümkün olan her hesapta aktif olmalı. Şifreniz çalınsa bile ikinci faktör olmadan hesabınıza erişilemez.
Güçlü ve benzersiz şifreler kullanın. Tek şifreyi birden fazla hesapta kullanmayın. Şifre yöneticisi bu konuda yardımcı olabilir.
İşletim sisteminizi ve uygulamalarınızı güncel tutun. Güvenlik yamaları phishing sitelerinin tespit edilmesine yardımcı olabilir.
E-posta filtreleme araçları şüpheli mesajları otomatik olarak spam klasörüne yönlendirebilir.
Davranışsal Önlemler
E-posta sizden hesabınıza giriş yapmanızı istediğinde e-postadaki linki kullanmayın. Tarayıcınıza adresi manuel olarak yazarak siteye gidin.
Kişisel bilgilerinizi isteyen e-postalara yanıt vermeyin. Şüpheli mesajları ilgili kuruma ayrı bir kanal üzerinden bildirin.
QR kodları taramadan önce fiziksel olarak kontrol edin. Üzerine yapıştırılmış veya değiştirilmiş görünen kodlardan kaçının.
Beklemediğiniz dosya eklerini açmayın. Özellikle .exe, .zip veya makro içeren dosyalar tehlikeli olabilir.
Kurumsal Önlemler
Düzenli phishing farkındalık eğitimleri çalışan riskini azaltır. Simüle edilmiş phishing testleri zayıf noktaları tespit etmeye yardımcı olur.
Veri yedekleme kritik öneme sahip. Saldırı başarılı olsa bile güncel yedekler veri kaybını minimize eder. Yedeklerin tesis dışında saklanması ek güvenlik sağlar.
Phishing Saldırısına Maruz Kalırsanız
Eğer bir phishing saldırısının kurbanı olduğunuzu düşünüyorsanız:
Hemen şifrelerinizi değiştirin. Sadece ele geçirilen hesabı değil, aynı şifreyi kullandığınız tüm hesapları güncelleyin.
İki faktörlü doğrulamayı aktif edin veya yenileyin. Varsa mevcut oturumları sonlandırın.
Banka veya kredi kartı bilgileriniz ele geçirildiyse bankanızı hemen arayın. Kartınızı iptal ettirin.
Durumu ilgili platformlara ve gerekirse yetkililere bildirin. Türkiye'de siber suçları Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'na bildirebilirsiniz.
Gelecek Perspektifi
2026 siber güvenlik tahminlerine göre yapay zeka hem saldırıları hem de savunmayı diğer tüm faktörlerden daha fazla şekillendirecek.
Saldırı tarafında: Çok kanallı taktikler, gerçek zamanlı kişiselleştirme ve marka taklidi artacak. Tehditler e-postanın ötesine geçerek SMS, ses ve işbirliği araçlarına yayılacak.
Savunma tarafında: Yapay zeka destekli tespit sistemleri daha yaygınlaşacak. Kimlik avına dirençli kimlik doğrulama yöntemleri (passkey, FIDO2) benimsenmesi hızlanacak.
Sonuç
Phishing, siber tehditlerin en yaygın ve en tehlikeli formlarından biri olmaya devam ediyor. Yapay zeka bu saldırıları daha sofistike hale getirirken, savunma stratejilerimizi de güçlendirmemiz gerekiyor.
Bilinçli olmak en güçlü savunma. Her mesaja, her linke, her talebe şüpheyle yaklaşmak alışkanlık haline gelmeli. Teknik önlemlerle birleştirildiğinde bu farkındalık, çoğu phishing saldırısını etkisiz kılabilir.
Unutmayın: Meşru bir kurum asla e-posta veya SMS ile şifrenizi, kart bilgilerinizi veya güvenlik kodlarınızı istemez. Bu basit kuralı aklınızda tutmak bile sizi birçok saldırıdan koruyacaktır.
0 Yorum
Yorum Yaz