Kısa tanım: Phishing (kimlik avı / oltalama), saldırganların kendilerini güvenilir bir kişi veya kurum gibi göstererek sizi şifre, kredi kartı bilgisi, tek kullanımlık doğrulama kodu (OTP), kimlik bilgileri gibi hassas verileri vermeye ya da zararlı bir işlemi (linke tıklama, dosya indirme, para transferi) yapmaya ikna etmeye çalıştığı sosyal mühendislik temelli dolandırıcılıklardır.
Phishing (Kimlik Avı) Ne Demek?
Phishing, Türkçe’de sıkça kimlik avı veya oltalama olarak anılır. Temel amaç, kurbanın güvenini manipüle ederek onu bir “hata” yapmaya sürüklemektir. Bu hata bazen:
Sahte bir giriş sayfasına kullanıcı adı / şifre girmek,
“Hesabınız askıya alınacak” gibi bir panikle doğrulama kodu paylaşmak,
“Faturanız var” diyerek ekli dosyayı açıp zararlı yazılım çalıştırmak,
“Kargonuz teslim edilemedi” bahanesiyle kart bilgisi girmek,
“Yönetici benim, acil transfer” gibi bir mesajla para göndermek,
şeklinde olur. Phishing’i “teknik bir hack” gibi düşünmek yanıltıcıdır. Phishing’in omurgası insan davranışı ve iknadır. Bu yüzden en güçlü savunma da yalnızca yazılım değil, alışkanlıklar + süreç + teknik kontrollerin birlikte çalışmasıdır.
Phishing Neden Bu Kadar Etkili?
Phishing’in etkili olmasının birkaç yapısal sebebi var:
Güven ekonomisi
Dijital dünyada her gün onlarca “meşru” etkileşim yapıyoruz: bankadan SMS, e-postayla fatura, kargo bildirimi, sosyal medya mesajı… Saldırganlar bu rutinleri taklit ederek görünmezleşir.
Zaman baskısı ve duygu tetikleme
Phishing mesajları çoğunlukla şu duygulardan birine oynar:
Korku: “Hesabınız kapatılacak”
Acele: “10 dakika içinde işlem yapın”
Merak: “Fotoğrafta siz var mısınız?”
Ödül: “Çekiliş kazandınız”
Otorite: “Ben yöneticiyim / bankadan arıyorum”
Utanç: “Hakkınızda şikâyet var”
Ölçeklenebilirlik
Saldırganlar aynı senaryoyu binlerce kişiye gönderebilir. Başarı oranı düşük olsa bile, çok sayıda denemede mutlaka birileri tıklar.
Savunmanın parçalı olması
Bir kullanıcı dikkatli olsa bile; başka bir kullanıcı, bir tedarikçi ya da bir ekip arkadaşı aynı titizliği göstermeyebilir. Kurumlar bu yüzden “en zayıf halka” problemi yaşar.
Phishing Türleri: E-posta, SMS, Telefon, Sosyal Medya, QR Kod ve Daha Fazlası
Phishing tek bir kanal değil, bir taktikler ailesidir. En yaygın türler:
E-posta phishing (klasik yöntem)
En bilinen form. Sahte “hesap doğrulama”, “şifre sıfırlama”, “fatura”, “teslimat” gibi e-postalarla gelir.
Spear phishing (hedefli oltalama)
Genel kitleye değil, belirli bir kişiye/ekibe yönelik hazırlanır. Kurban hakkında bilgi toplanır (unvan, proje, ekip, müşteri) ve mesaj kişiselleştirilir. Bu yüzden tespit edilmesi daha zordur.
Whaling (üst düzey yönetici hedefleme)
Spear phishing’in özel bir türü. CEO/CFO gibi kritik yetkisi olan kişiler hedeflenir. Amaç çoğu zaman para transferi veya kritik erişim elde etmektir.
BEC / CEO Fraud (iş e-postası dolandırıcılığı)
Saldırgan, bir iş sürecini taklit eder: “yeni IBAN’a ödeme”, “acil satın alma”, “fatura değişti” gibi. Bazen hesap ele geçirilir, bazen sadece benzer görünen e-posta kullanılır.
Smishing (SMS phishing)
SMS üzerinden gelir. “Kargonuz dağıtımda”, “paket ücreti” gibi kısa ve aceleci mesajlarla linke yönlendirir.
Vishing (sesli arama/telefonla oltalama)
Telefonla arayıp “bankadan arıyoruz”, “IT destek”, “polis/savcı” gibi rol yapabilirler. Amaç çoğu zaman OTP almak, uzaktan erişim kurdurmak ya da para transferi yaptırmaktır.
Sosyal medya/mesajlaşma phishing
Instagram / WhatsApp / Telegram / Discord gibi kanallarda “hesabın şikâyet aldı”, “mavi tik onayı”, “telif sorunu” gibi temalar döner.
QRishing (QR kodla oltalama)
Fiziksel ortamlarda (afiş, masa üstü, otopark ödeme noktası vb.) QR kod konur. QR taratınca sahte site açılır ya da zararlı indirme başlatılır.
Mini tablo: Kanal → tipik hedef → tipik senaryo
| Kanal | Tipik hedef | Tipik senaryo |
|---|---|---|
| E-posta | Kurumsal kullanıcılar | Şifre sıfırlama / fatura / paylaşım daveti |
| SMS | Herkes | Kargo / teslimat / ödeme bildirimi |
| Telefon | Daha az teknik kullanıcılar | Banka / kurum taklidi, OTP isteme |
| Sosyal medya | Influencer / marka / hesap sahipleri | “Hesabınız kapanacak” bahanesi |
| QR | Fiziksel alandaki kişiler | Ödeme / menü / wi-fi erişimi taklidi |
Bir Phishing Saldırısı Nasıl İşler? (Yüksek Seviye Akış)
Detaya boğmadan tipik akış şöyledir:
Senaryo seçimi: Banka, kargo, kurumsal sistem, popüler platform teması.
Dağıtım: E-posta / SMS / DM / arama.
Tetik: Link, dosya, QR, “acil işlem” çağrısı.
Yakalama: Sahte giriş sayfası, form, ödeme ekranı veya telefonla OTP alma.
Sonuç: Hesap ele geçirme, para kaybı, veri sızıntısı, zararlı yazılım bulaşması.
Sürdürülebilirlik: Kurbanın hesabından yeni phishing yayma, rehberdeki kişilere saldırma.
Savunmada amaç, bu zinciri erken kırmaktır: mesajın size ulaşmasını engellemek, ulaşırsa tespit etmek, tıklansa bile zararı sınırlamak ve olay sonrası hızlı toparlanmak.
Phishing Maili Nasıl Anlaşılır? En Güçlü İpuçları
“Phishing nasıl anlaşılır?” sorusunun tek bir cevabı yok; ama aşağıdaki sinyaller birlikte görüldüğünde risk ciddi artar.
Dil ve ton: yapay aciliyet, tehdit, panik
“Hesabınız 24 saat içinde kapatılacak”
“Ödemeniz alınmadı, hemen doğrulayın”
“Şüpheli giriş tespit edildi, şimdi giriş yapın”
Meşru kurumlar da uyarı gönderebilir; fark şu: meşru kurumlar genelde sizi linke zorlamaz, alternatif doğrulama yolları sunar ve mesaj tonu daha tutarlıdır.
Sizden istenen şey “normal dışı” mı?
Şu istekler kırmızı bayraktır:
Şifre veya OTP istemek
Kart bilgisi/3D doğrulama bilgisi istemek
“Bu dosyayı açıp onaylayın”
“Uygulama indirip ekran paylaşın / uzaktan bağlanın”
Özellikle OTP (tek kullanımlık kod) istenmesi: Bankalar ve platformlar “kodu kimseyle paylaşmayın” diye uyarır. Kod isteniyorsa, bu neredeyse her zaman saldırıdır.
Link davranışı: “güven hissi” veren ama farklı yere giden bağlantı
Link metni “şirket adı” gibi görünür ama tıklayınca başka yere gider.
Kısaltılmış linkler (her zaman kötü değildir ama risk artırır).
Mobilde tam adresi görmek zor olduğu için smishing daha etkilidir.
Pratik alışkanlık: Linke tıklamak yerine, ilgili kuruma kendiniz gidin: uygulamayı açın, tarayıcıya adresi elle yazın, yer imini kullanın.
Beklenmedik ek/dosya
“Fatura.pdf”, “kargo_detay.zip” gibi ekler risklidir. Özellikle:
ZIP/RAR gibi sıkıştırılmış dosyalar
Makro içeren ofis dosyaları
“İçeriği etkinleştir” uyarısı çıkaran belgeler
Kimlik tutarsızlıkları
E-posta imzası, logo, dil kurumsal ama detaylar tutmuyor.
Kurum adı var ama işlem ayrıntısı yok.
Sizi adınızla değil “Sayın kullanıcı” diye genel hitap.
“Doğru kişiye mi geldi?” hissi
Gerçek bir kurum mesajı çoğu zaman sizinle ilgili özgül bilgi içerir (ör. işlem tarih aralığı, kısmi maskeleme). Phishing’de genellikle bu detaylar bulanıktır.
Phishing Linkine Tıkladım: Ne Yapmalıyım?
Bu bölüm “phishing linkine tıkladım” aramasına gelenlerin en çok ihtiyaç duyduğu şey: panik yerine sıralı aksiyon.
Senaryo A — Linke tıkladım ama hiçbir bilgi girmedim
Sekmeyi kapatın.
Cihazda güvenlik taraması çalıştırın (işletim sistemi + antivirüs / EDR).
Tarayıcı geçmişi / indirilenler bölümünü kontrol edin: bir şey indirildiyse silin, çalıştırmayın.
Aynı mesajı başkalarına iletmeden önce “phishing” uyarısı koyun (kurum içindeyseniz IT’ye bildirin).
Senaryo B — Kullanıcı adı/şifre girdim
Hemen şifreyi değiştirin (mümkünse temiz bir cihazdan).
Aynı şifreyi kullandığınız diğer hesapların da şifresini değiştirin.
Çok faktörlü doğrulamayı (MFA / 2FA) açın.
Hesap güvenlik oturumlarını kapatın: “Tüm cihazlardan çıkış yap”.
Hesapta eklenmiş yeni e-posta/telefon/yedek yöntem var mı kontrol edin.
Senaryo C — OTP / doğrulama kodu paylaştım
Bu, saldırganın “o anda” giriş yapabildiği anlamına gelebilir.
Şifreyi değiştirin.
MFA yöntemlerini yenileyin (authenticator yeniden kurma, yedek kodları yenileme).
Hesap kurtarma seçeneklerini kontrol edin.
Şüpheli işlemleri inceleyin (giriş logları, transferler, ayarlar).
Senaryo D — Kart bilgisi girdim / ödeme yaptım
Bankanızla hemen iletişime geçin (kartı kapatma / yenileme, işlem itirazı).
Hesap hareketlerini takip edin.
Aynı kartın kayıtlı olduğu platformlarda kayıtlı ödeme yöntemlerini kontrol edin.
Senaryo E — Dosya indirdim / çalıştırdım
İnterneti kapatın (Wi-Fi / ethernet).
Cihazı izolasyona alın (kurum cihazıysa IT’ye bildirin).
Güvenlik taraması + log inceleme.
Gerekirse temiz kurulum/geri yükleme (kurumsal prosedürle).
Altın kural: Phishing’de “ilk 10 dakika” önemlidir. Ama doğru adımlarla çoğu olayda zararı ciddi ölçüde sınırlarsınız.
Hesaplarınızı Nasıl Korursunuz? Bireyler için Güvenlik Rehberi
Şifre hijyeni: tekrar yok, zayıf yok
Aynı şifreyi birden fazla yerde kullanmayın.
Uzun ve benzersiz parola üretin.
Parola yöneticisi kullanmayı düşünün (pratiklik = sürdürülebilir güvenlik).
MFA/2FA: özellikle kritik hesaplarda şart
E-posta hesabınız ele geçirilirse diğer hesaplar da tehlikeye girer (şifre sıfırlama e-postaları). Bu yüzden:
E-posta, banka, bulut depolama, sosyal medya için MFA açın.
SMS tabanlı MFA bazı riskler taşıyabilir; mümkünse uygulama tabanlı doğrulayıcı tercih edilir (koşullara göre).
“Linke tıklama” refleksini tersine çevirin
Kendinize basit bir rutin koyun:
Mesajdaki link → tıklama
Uygulamayı aç → oradan kontrol et
Tarayıcıya adresi kendin yaz → hesabına gir
Tarayıcı ve cihaz güncelliği
İşletim sistemi ve tarayıcı güncellemelerini ertelemeyin.
Bilinmeyen eklentiler kurmayın.
Uygulama izinlerini düzenli kontrol edin.
“Kişisel veri diyeti”
Hedefli (spear) saldırılarda açık kaynak istihbaratı (OSINT) çok kullanılır. Herkese açık profillerinizde:
Telefon, e-posta, kurum içi detaylar, proje adı gibi bilgileri sınırlayın.
Çalıştığınız teknoloji/yetki gibi detaylar saldırgan için “senaryo malzemesi”dir.
Aile/ekip içi protokol
Ailenizde veya küçük bir ekipte bile basit bir protokol işe yarar:
“Para isteyen mesaj gelirse, telefonla geri arayıp doğrula.”
“Kritik işlemde ikinci bir kanaldan teyit.”
Kurumlar için Phishing Önleme: Teknik ve Operasyonel Kontroller
Kurumlar için phishing “kullanıcı eğitimi”yle bitmez; çok katmanlı savunma gerekir.
E-posta kimlik doğrulama: SPF, DKIM, DMARC
Bu üçlü, alan adınızın taklit edilmesini zorlaştırır ve sahte e-postaları filtrelemeye yardımcı olur. Uygulama ve izleme doğru yapılırsa BEC riskini azaltır.
Güvenli e-posta geçidi ve URL koruması
Şüpheli linkleri tıklamadan önce analiz eden çözümler
Ekleri sandbox’ta açıp davranış analizi yapan çözümler
Makro/potansiyel riskli ek politikaları
MFA, koşullu erişim ve “en az ayrıcalık”
Yönetici hesaplarında MFA zorunlu olmalı.
Konum/cihaz durumu gibi sinyallerle koşullu erişim uygulanmalı.
Yetkiler minimumda tutulmalı.
Güvenlik farkındalığı + simülasyon (etik ve ölçülü)
Eğitim tek seferlik değil, süreklidir. Ancak amaç “utandırmak” değil:
Riskli davranışları ölçmek
Doğru davranışı pekiştirmek
Olay bildirim kültürünü güçlendirmek
Olay müdahale planı (IR)
Phishing kaçınılmazdır; önemli olan:
Bildirim kanalı (tek tık “phishing bildir”)
Triyaj ve izolasyon prosedürü
Kimlik bilgisi sızıntısında hızlı reset akışı
Loglama ve post-mortem
Bu noktada kurumlar, siber güvenlik standardı ve iyi uygulama setleri için NIST ve ENISA gibi kurumların yayınladığı çerçevelerden yararlanır (uyarlayarak).
Sık Yapılan Hatalar ve Mitler
Mit 1: “Benim başıma gelmez.”
Phishing çoğu zaman “hedef seçerek” değil, “rastgele ölçekleyerek” çalışır.
Mit 2: “Antivirüs varsa sorun yok.”
Antivirüs yardımcıdır ama phishing’in ana silahı insan hatasıdır. Linke tıklatıp veriyi sizden alıyorsa antivirüs tek başına yetmez.
Mit 3: “E-posta resmi görünüyorsa gerçektir.”
Logo, imza, dil taklidi kolaydır. Doğrulama, kanal bağımsız yapılmalıdır.
Mit 4: “Sadece e-posta ile olur.”
SMS, telefon, QR, sosyal medya; hepsi aynı oyunun farklı sahneleri.
SSS (Sık Sorulan Sorular)
Phishing ile scam aynı şey mi?
Scam genel bir dolandırıcılık şemsiyesidir. Phishing, scam’in kimlik avı odaklı ve çoğu zaman dijital kimlik / erişim hedefleyen alt türlerinden biridir.
“Oltalama” ile “kimlik avı” farkı var mı?
Türkçede pratikte aynı anlamda kullanılır. “Oltalama” daha mecazi, “kimlik avı” daha teknik bir karşılıktır.
Phishing mesajını açmak zararlı mı?
Sadece mesajı görüntülemek genellikle tek başına yeterli değildir; asıl risk linke tıklama, dosya indirme/çalıştırma veya bilgi girme ile artar. Ancak bazı gelişmiş saldırılar istisna oluşturabilir; bu yüzden şüpheli ek ve linklerden uzak durmak gerekir.
Sahte siteyi nasıl anlarım?
Tek bir işaret yok; ama adres çubuğundaki alan adı tutarsızlığı, aşırı aciliyet, beklenmedik giriş ekranı, yazım hataları ve “sizi sürekli bir şeye zorlayan” akış güçlü sinyallerdir.
Phishing’i nereye bildirmeliyim?
Kurum içindeyseniz IT/SOC ekibine. Bireyseniz ilgili platformun “report phishing” mekanizmalarına ve bankacılık dolandırıcılığı söz konusuysa bankanıza bildirim en kritik adımdır.
Perspektif: Dijital Güvenin Aşınması ve “Doğrulama Kültürü”
Phishing’in asıl maliyeti yalnızca para veya hesap değildir; güvenin maliyetidir. Her sahte mesaj, dijital etkileşimleri daha “şüpheli” hale getirir. Bu noktada bireyler ve kurumlar için sürdürülebilir çözüm, paranoyaya kapılmak değil; günlük hayatın içine yerleşen küçük bir refleks geliştirmektir:
Tek kanala güvenme.
Acele karar verme.
Gördüğünü değil, doğruladığını temel al.
İşlemi başlatan sen ol. (Linkten değil, uygulamadan / yer iminden / elle yazarak)
Bu refleks bir kez oturduğunda phishing’in en büyük silahı olan “otomatik pilot” devre dışı kalır.
Mini Sözlük
Sosyal mühendislik: İnsan davranışlarını manipüle ederek hedefe ulaşma yöntemleri.
OTP (One-Time Password): Tek kullanımlık doğrulama kodu.
MFA/2FA: Çok faktörlü / iki faktörlü kimlik doğrulama.
Spear phishing: Belirli kişi / kurum hedefli oltalama.
Whaling: Üst düzey yönetici hedefli oltalama.
BEC (Business Email Compromise): İş e-postası dolandırıcılığı.
Smishing: SMS üzerinden oltalama.
Vishing: Telefonla (sesli) oltalama.
QRishing: QR kod üzerinden oltalama.
Kaynakça
- Anti-Phishing Working Group. (2025, July 2). *Phishing activity trends report: 1st quarter 2025.* https://docs.apwg.org/reports/apwg_trends_report_q1_2025.pdf
- Dhamija, R., Tygar, J. D., & Hearst, M. (2006). Why phishing works. In *Proceedings of the SIGCHI Conference on Human Factors in Computing Systems* (pp. 581–590). Association for Computing Machinery. https://people.ischool.berkeley.edu/~hearst/papers/why_phishing_works.pdf
- European Union Agency for Cybersecurity. (2020). *ENISA threat landscape 2020: Phishing.* ENISA. https://www.enisa.europa.eu/sites/default/files/2021-12/ENISA%20Threat%20Landscape%202020%20-%20Phishing.pdf
- European Union Agency for Cybersecurity. (2025, February 6). Phishing: The dominance of domain impersonation. ENISA. https://www.enisa.europa.eu/news/phishing-the-dominance-of-domain-impersonation
- Federal Trade Commission. (2022, September). How to recognize and avoid phishing scams. *Consumer Advice.* https://consumer.ftc.gov/articles/how-recognize-avoid-phishing-scams
- Google. (n.d.). Avoid & report phishing emails. *Gmail Help.* Retrieved February 18, 2026, from https://support.google.com/mail/answer/8253?hl=en
- Google. (n.d.). Safe Browsing. Retrieved February 18, 2026, from https://safebrowsing.google.com/
- IBM Security X-Force. (2025, April 7). *X-Force threat intelligence index 2025.* IBM. https://www.ibm.com/reports/threat-intelligence
- Internet Engineering Task Force. (2011, September). *DomainKeys Identified Mail (DKIM) signatures* (RFC 6376). https://datatracker.ietf.org/doc/html/rfc6376
- Internet Engineering Task Force. (2014, April). *Sender Policy Framework (SPF) for authorizing use of domains in email, version 1* (RFC 7208). https://datatracker.ietf.org/doc/html/rfc7208
- Internet Engineering Task Force. (2015, March). *Domain-based message authentication, reporting, and conformance (DMARC)* (RFC 7489). https://datatracker.ietf.org/doc/html/rfc7489
- Microsoft. (n.d.). Protect yourself from phishing. *Microsoft Support.* Retrieved February 18, 2026, from https://support.microsoft.com/en-us/windows/protect-yourself-from-phishing-0c7ea947-ba98-3bd9-7184-430e1f860a44
- Microsoft. (n.d.). Protect yourself from malware and phishing. *Microsoft Support.* Retrieved February 18, 2026, from https://support.microsoft.com/en-us/topic/protect-yourself-from-malware-and-phishing-c1c0c2cf-7e80-4805-8b7e-81aa48610b44
- Microsoft Threat Intelligence. (2025, October). *Microsoft Digital Defense Report 2025: Safeguarding trust in the AI era* (v3). Microsoft. https://cdn-dynmedia-1.microsoft.com/is/content/microsoftcorp/microsoft/msc/documents/presentations/CSR/Microsoft-Digital-Defense-Report-2025.pdf
- National Institute of Standards and Technology. (2025, August 19). Phishing. NIST. Retrieved February 18, 2026, from https://www.nist.gov/itl/smallbusinesscyber/guidance-topic/phishing
- National Institute of Standards and Technology. (2025, July). NIST SP 800-63 Digital Identity Guidelines (Revision 4). NIST. Retrieved February 18, 2026, from https://pages.nist.gov/800-63-4/
- Verizon. (2025). *2025 data breach investigations report.* Verizon. https://www.verizon.com/business/resources/T16f/reports/2025-dbir-data-breach-investigations-report.pdf
🗓️ Yayınlanma Tarihi: 18 Şubat 2026
🔄 Son Güncelleme Tarihi: 18 Şubat 2026
🎯 Kimler için: Bu içerik, “phishing nedir?” sorusuna yüzeysel bir tanımdan fazlasını arayan; kimlik avı (oltalama) saldırılarını doğru okuyup doğru tepki vermek isteyen herkes için hazırlandı. Özellikle:
Günlük internet kullanıcıları: E-posta, SMS, sosyal medya mesajları ve QR kodlar üzerinden gelen şüpheli bildirimleri ayırt etmek isteyenler.
Online bankacılık ve e-ticaret kullananlar: Kart bilgisi, OTP (tek kullanımlık kod) ve hesap güvenliği risklerini azaltmak isteyenler.
Öğrenciler ve yeni başlayanlar: Siber güvenliğe giriş yapıp phishing’in temel mantığını kavramak isteyenler.
Çalışanlar ve ekip liderleri: Kurumsal e-posta dolandırıcılığı (BEC), hedefli saldırılar (spear phishing) ve iş süreçlerinde doğrulama ihtiyacını anlamak isteyenler.
KOBİ sahipleri ve yöneticiler: Basit ama etkili güvenlik alışkanlıkları ve kurum içi önlemlerle riski düşürmek isteyenler.
Eğer “Şüpheli bir linke tıkladım, ne yapmalıyım?” ya da “Bu mesaj gerçek mi sahte mi?” diye düşünüyorsanız, bu yazı tanıma + örüntüleri ayırt etme + aksiyon planı sunacak şekilde tasarlandı.
İçerik Bilgisi
Invictus Wiki editoryal ekibini temsil eden kolektif bir yazarlık imzasıdır. IW imzasıyla yayımlanan içerikler; çok kaynaklı araştırma, editoryal inceleme ve tarafsızlık ilkeleri doğrultusunda hazırlanır.
