Blog / Güvenlik / Oltalama (Phishing) Nedir? Nasıl Anlaşılır ve Korunulur?

Oltalama (Phishing) Nedir? Nasıl Anlaşılır ve Korunulur?

📅 Yayınlanma: 28 Haziran 2026

Oltalama (phishing), saldırganların güvenilir bir kurumu (banka, kargo firması, e-posta sağlayıcısı, kamu kurumu) taklit ederek sizi kandırmaya ve giriş bilgilerinizi, kart numaranızı veya kişisel verilerinizi çalmaya çalıştığı bir dolandırıcılık yöntemidir. Adı “balık avlamak” (fishing) sözcüğünden gelir: saldırgan bir yem (sahte e-posta veya mesaj) atar, kurbanın oltaya gelmesini bekler.

Bu yazıda oltalamanın ne olduğunu, sahte bir sitenin nasıl anlaşıldığını ve hem kişisel hem kurumsal düzeyde nasıl korunabileceğinizi adım adım ele alıyoruz. Şüpheli bir bağlantıyı tıklamadan önce SecRadar Tehdit Kontrolü ile saniyeler içinde kontrol edebileceğinizi de göstereceğiz.

Oltalama Nasıl Çalışır?

Tipik bir oltalama saldırısı birkaç adımdan oluşur:

  1. Yem: Size aciliyet hissi veren bir e-posta veya SMS gelir — “Hesabınız askıya alındı”, “Kargonuz teslim edilemedi”, “Ödülünüzü almak için tıklayın”.
  2. Sahte bağlantı: Mesajdaki bağlantı, gerçeğine çok benzeyen ama saldırgana ait bir siteye yönlendirir.
  3. Sahte sayfa: Bu site, gerçek giriş sayfasının birebir kopyasıdır. Bilgilerinizi girdiğinizde doğrudan saldırgana ulaşır.
  4. İstismar: Çalınan bilgilerle hesabınıza girilir, para transfer edilir veya kimliğiniz başka saldırılarda kullanılır.

Oltalama yalnızca e-posta ile sınırlı değildir: SMS üzerinden yapılana smishing, telefonla yapılana vishing, belirli bir kişiyi hedef alan kişiselleştirilmiş saldırılara ise spear phishing denir.

Sahte Bir Site Nasıl Anlaşılır?

Oltalama sitelerinin çoğu birkaç ortak ipucu barındırır. Bir bağlantıya tıklamadan veya bilgi girmeden önce şunları kontrol edin:

1. Alan Adını Dikkatle Okuyun

Saldırganlar gerçek adrese benzeyen alan adları kullanır. Bunlara typosquatting denir:

  • Harf değişimi: g00gle.com (o yerine sıfır), paypa1.com (l yerine bir).
  • Ek kelime: banka-guvenlik.com, hesap-dogrulama-bankam.com.
  • Farklı uzantı: gerçek site .com.tr iken sahtesi .com veya .xyz.
  • Alt alan adı oyunu: bankaniz.com.guvenli-giris.net — asıl alan adı buradaki guvenli-giris.net‘tir, başındaki “bankaniz.com” sadece bir alt alan adıdır.

Kural: Adresin en sağdaki iki parçası (örn. example.com) asıl alan adıdır; geri kalan her şey onun önüne eklenmiş olabilir.

2. “Yeşil Kilit” Sahte Sitenin Güvenli Olduğu Anlamına Gelmez

Yaygın bir yanılgı: “Adreste kilit simgesi (HTTPS) varsa site güvenlidir.” Bu doğru değildir. Bugün ücretsiz SSL sertifikası almak dakikalar sürdüğü için oltalama siteleri de HTTPS kullanır. Kilit yalnızca bağlantının şifreli olduğunu gösterir; sitenin dürüst olduğunu değil. Sertifikanın kime ait olduğunu SSL Sorgulama ile inceleyebilir, sertifikadaki alan adının beklediğiniz kurumla eşleşip eşleşmediğine bakabilirsiniz. SSL hataları ve “Bağlantınız Gizli Değil” uyarısının ne anlama geldiğini ayrı bir yazıda ele aldık.

3. Alan Adının Yaşına Bakın

Oltalama siteleri genellikle çok yeni kaydedilmiş alan adları kullanır; kampanya bitince terk edilirler. Gerçek bir bankanın alan adı yıllardır kayıtlıyken, sahtesi birkaç gün önce alınmış olabilir. Bir alan adının ne zaman tescil edildiğini WHOIS Sorgulama aracıyla öğrenebilirsiniz; birkaç gün önce kaydedilmiş bir “banka” sitesi güçlü bir uyarı işaretidir. Alan adı tescili ve WHOIS konusunu WHOIS rehberimizde detaylandırdık.

4. Tehdit Listelerinde Olup Olmadığını Kontrol Edin

Bilinen birçok oltalama ve zararlı yazılım sitesi, Google Safe Browsing gibi tehdit veritabanlarına işaretlenmiştir. Şüpheli bir adresi girmeden, Tehdit Kontrolü aracıyla sitenin bu listelerde olup olmadığını saniyeler içinde sorgulayın. Sonuç temiz çıksa bile diğer ipuçlarını göz ardı etmeyin — çok yeni bir site henüz listelenmemiş olabilir.

5. İçerik ve Aciliyet Tuzaklarına Dikkat

Dil bilgisi hataları, garip ifadeler, kişiselleştirilmemiş hitaplar (“Sayın Müşteri”) ve özellikle aciliyet baskısı (“24 saat içinde doğrulamazsanız hesabınız silinecek”) klasik oltalama işaretleridir. Hiçbir ciddi kurum sizden e-posta bağlantısıyla parola veya kart bilgisi girmenizi istemez.

Oltalamadan Nasıl Korunulur? (Bireysel)

  • Bağlantıya tıklamak yerine adresi elle yazın. Bankanızın sitesine gitmek için e-postadaki bağlantıyı değil, adres çubuğuna kendiniz yazdığınız resmi adresi kullanın.
  • İki adımlı doğrulama (2FA) kullanın. Paroleniz çalınsa bile, ikinci faktör (SMS/uygulama kodu) olmadan hesabınıza girilemez.
  • Parola yöneticisi kullanın. Parola yöneticileri yalnızca doğru alan adında otomatik doldurma yapar; sahte sitede doldurmaması başlı başına bir uyarıdır.
  • Şüphede tıklamayın, doğrulayın. Kurumu resmi telefonundan arayın; mesajdaki numarayı değil.
  • Şüpheli adresi önce kontrol edin. Tehdit Kontrolü ve WHOIS ile hızlı bir kontrol çoğu tuzağı erkenden açığa çıkarır.

Markanız Taklit Edilirse: Kurumsal Korunma

Oltalama yalnızca bireyleri değil, taklit edilen kurumları da hedef alır: müşterileriniz sizin adınıza dolandırılır, marka güveniniz zarar görür. Kurumsal olarak alabileceğiniz önlemler:

  • E-posta kimlik doğrulaması kurun. SPF, DKIM ve DMARC kayıtları, saldırganların sizin alan adınızdan sahte e-posta göndermesini zorlaştırır. Bu konuyu SPF, DKIM ve DMARC rehberimizde anlattık.
  • Sertifika düzenlemelerini izleyin. Markanıza benzer alan adları için alınan SSL sertifikaları, kurulmakta olan bir phishing altyapısının habercisi olabilir. Certificate Transparency loglarıyla bunu nasıl yakalayacağınızı CT ve subdomain keşfi yazımızda ele aldık.
  • Benzer (typosquat) alan adlarını takip edin. Markanızın yaygın yanlış yazımlarını ve farklı uzantılarını periyodik kontrol edin; gerekiyorsa savunma amaçlı tescil edin.
  • Güvenlik başlıklarınızı sıkılaştırın. Doğru yapılandırılmış HTTP güvenlik başlıkları, sitenizin kötüye kullanılma ve içerik enjeksiyonu riskini azaltır.
  • Sürekli izleyin. SSL, DNS, itibar ve sertifika değişikliklerini tek panelden izleyerek bir sorunu müşterilerinizden önce fark edin.

Oltalamaya Maruz Kaldıysanız Ne Yapmalısınız?

  1. Bilgilerinizi girdiyseniz parolanızı hemen değiştirin; aynı parolayı kullandığınız diğer hesaplarda da.
  2. Kart bilgisi verdiyseniz bankanızı arayıp kartı bloke ettirin.
  3. Mümkün olan her hesapta iki adımlı doğrulamayı açın.
  4. Olayı ilgili kuruma ve gerekiyorsa adli makamlara bildirin.
  5. Kendi siteniz taklit veya ele geçirildiyse, zararlı içeriği temizleyip Google Search Console üzerinden yeniden değerlendirme talep edin.

Özetle

Oltalama, teknik bir açıktan çok insan psikolojisini hedef alır: aciliyet, korku ve güven taklidi. En iyi savunma, şüpheci bir refleks ve birkaç saniyelik kontroldür. Bir bağlantıyı tıklamadan önce alan adını dikkatle okuyun, yaşını ve itibarını sorgulayın; kurum olarak ise markanızı taklit edenleri sürekli izleyin.

Şüpheli adresleri Tehdit Kontrolü, WHOIS Sorgulama ve SSL Sorgulama araçlarımızla saniyeler içinde değerlendirebilirsiniz. Kurumsal alan adı ve güvenlik hizmetleri için İHS Telekom‘u inceleyebilirsiniz.

Şüpheli bağlantıları tıklamadan önce kontrol edin. SecRadar’a ücretsiz üye olun; kendi alan adınızın itibarını, SSL’ini ve DNS’ini sürekli izleyin, markanız taklit edildiğinde veya bir tehdit listesine girdiğinizde Telegram ya da e-posta ile anında uyarı alın.

Yorum yapın