Oltalama (Phishing) Saldırılarını Tanıma Rehberi: Sahte SMS ve E-Postalardaki 7 Gizli Kusur (2026)

yazar

Trabzon’da bir muhasebeci olan Selçuk, sabah 07.30’da telefonuna gelen bir SMS’i okudu: “Yapı Kredi: Hesabınızda 3D Secure ihlali tespit edildi. 2 saat içinde doğrulama yapmazsanız kartınız kalıcı olarak bloke edilecektir. Şimdi doğrula: yapikredi-guvenlik.net” Panikle linke tıkladı, açılan “Yapı Kredi” sayfasına kart bilgilerini girdi. İki saat sonra 4.700 TL gitmiş, site kapanmıştı.

İçindekiler

  1. Oltalama: İnsanı Hacklemek
  2. Kusur 1: Sahte Domain Analizi
  3. Kusur 2: Gönderici Adresi Uyumsuzluğu
  4. Kusur 3: Aciliyet ve Tehdit Dili
  5. Kusur 4: Genel Hitap Kullanımı
  6. Kusur 5: Kişisel Bilgi Talebi
  7. Kusur 6: Dilbilgisi ve Yazım Hataları
  8. Kusur 7: Hover Testini Geçemeyen Linkler
  9. Sanal Kart: Phishing’in Panzehiri
  10. Sık Sorulan Sorular

Selçuk’un düştüğü tuzakta 7 ayrı teknik kusur vardı — hepsi fark edilebilirdi. Bu rehberde bu 7 kusuru tek tek inceleyerek bir daha asla tuzağa düşmemenizi sağlayacak pratik bir tespit sistemi kuruyoruz.

Oltalama: İnsanı Hacklemek

Phishing, sistemleri değil insanları hedef alan bir sosyal mühendislik saldırısıdır. Saldırganlar teknik güvenlik duvarlarını aşmak yerine insanın doğasındaki açıkları — korku, merak, güven ve acele — kullanmayı tercih eder.

2026 yılında yapay zeka destekli phishing araçlarının yaygınlaşmasıyla birlikte saldırılar çok daha kişiselleşmiş ve inandırıcı hale gelmiştir. Sahte mesajlar artık kişinin adını, kullandığı bankayı ve hatta son işlem tarihini içerebilmektedir. Ama ne kadar sofistike olursa olsun, her phishing girişimi mutlaka iz bırakır. İşte o 7 iz:

Kusur 1: Sahte Domain Analizi

Phishing saldırılarının en belirgin izi yanlış domain adıdır. Saldırganlar gerçek domain’e çok benzeyen ama farklı olan adresler kullanır. Bu fark bazen tek bir karakterdir.

Yaygın domain manipülasyonu teknikleri:

Ek kelime ekleme: garantibbva.com.tr yerine garantibbva-guvenlik.com.tr veya garanti-bbva.com. Resmi banka adresi hiçbir zaman tire içermez.

TLD değişimi: garantibbva.com.tr yerine garantibbva.net veya garantibbva.com. Türk bankalarının resmi adresleri .com.tr ile biter.

Alt domain kandırmacası: garantibbva.com.tr.login-secure.net — burada “garantibbva.com.tr” alt domain, gerçek domain “login-secure.net”tir. Adresin en sağındaki noktadan itibaren okuyun.

Görsel benzerlik: “garantibbva” yerine “garantıbbva” (i yerine ı) veya Kiril alfabesiyle “а” kullanımı. Bu farkı gözle ayırt etmek neredeyse imkânsızdır.

Tespit yöntemi: Linke tıklamadan önce tarayıcının adres çubuğunu inceleyin. Asıl domain her zaman son noktadan önceki kelimedir. “garantibbva.com.tr” doğru, başka her varyasyon yanlış.

Kusur 2: Gönderici Adresi Uyumsuzluğu

E-posta phishing’inde “gönderen ismi” ile “gerçek gönderici adresi” farklıdır. İsim alanında “Garanti BBVA Güvenlik” yazarken gerçek adres “bildirim@garanti-help.net” veya “noreply@gmail.com” olabilir.

Gerçek banka adresleri:
Garanti BBVA: @garantibbva.com.tr
Yapı Kredi: @yapikredi.com.tr
Akbank: @akbank.com
Ziraat: @ziraatbank.com.tr
İNG: @ing.com.tr

Bu domainlerin dışında gelen her “banka e-postası” sahte kabul edilmelidir. Gmail, Outlook, Hotmail veya başka ücretsiz servislerden gelen banka bildirimleri kesinlikle phishing’dir.

Tespit yöntemi: Gönderen adına tıklayın veya üzerine gelin — gerçek e-posta adresi görünür. Sadece ismi değil, adresin tamamını kontrol edin.

Kusur 3: Aciliyet ve Tehdit Dili

Gerçek bankalar sizi aceleye getiren, panikletici bir dil kullanmaz. “2 saat içinde işlem yapmazsanız hesabınız silinecek” veya “Bugün doğrulama yapılmazsa kart kalıcı olarak bloke edilir” ifadeleri phishing’in klasik tetikleyicileridir.

Bu aciliyet mesajları bilinçli olarak tasarlanmıştır: Panikleyen bir insan düşünmeden hareket eder, doğrulama yapmaz, sadece linke tıklar.

Gerçek banka bildirimleri şu dili kullanır: “Hesabınızda bir güncelleme mevcuttur, uygun zamanda inceleyebilirsiniz” veya “Güvenlik ayarlarınızı güçlendirmenizi öneririz.” Tehdit ve baskı yoktur.

Kural: Mesaj panik yaratıyorsa, durdurun. Mesajdaki linke tıklamak yerine bankanızın kayıtlı telefon numarasını arayın. Gerçek bir sorun varsa banka size telefonda söyler.

Kusur 4: Genel Hitap Kullanımı

Bankanız her zaman adınızı bilir. Gönderdiği mesajlarda “Sayın Ahmet Yılmaz” veya “Değerli Müşterimiz Selçuk Bey” şeklinde hitap eder. “Değerli Müşterimiz”, “Sayın Kullanıcı” veya “Merhaba” gibi genel ifadeler phishing işaretidir.

Saldırganlar aynı mesajı binlerce kişiye toplu gönderir — her kişinin adını bilmek imkânsızdır. Bu nedenle genel hitap kullanmak zorundadırlar.

İstisna: Spear phishing adı verilen hedefli saldırılarda isim biliniyor olabilir. Bu nedenle kişisel hitap tek başına güvenlik garantisi değildir ama genel hitap kesin uyarı işaretidir.

Kusur 5: Kişisel Bilgi Talebi

Türk bankaları hiçbir koşulda e-posta veya SMS yoluyla şifre, kart numarası, CVV, PIN kodu veya SMS doğrulama kodu talep etmez. Bu kural istisnasız geçerlidir.

Eğer bir mesaj şunları istiyorsa kesinlikle phishing’dir:

“Kart numaranızı ve CVV kodunuzu girin” — Banka zaten kart bilgilerinizi bilir, sormaz. “Şifrenizi buraya yazın” — Hiçbir meşru sistem şifrenizi mesajla sormaz. “SMS kodunuzu paylaşın” — 3D Secure kodları sadece kendi başlatılan işlemler için kullanılır, başkasıyla paylaşılmaz.

Altın kural: Herhangi bir mesaj kart bilgisi veya şifre istiyorsa, mesajın kaynağı ne olursa olsun, bu phishing’dir.

Kusur 6: Dilbilgisi ve Yazım Hataları

Phishing mesajları çoğunlukla hatalı Türkçe içerir. Bunun nedeni saldırıların büyük bölümünün yurt dışından ve makine çevirisi kullanılarak gerçekleştirilmesidir.

Dikkat edilmesi gereken belirtiler: Garip kelime sırası (“hesabınızın güvenliği tehlikede olduğundan dolayı”), yanlış fiil çekimi, noktalama hataları, Türkçe karakter eksiklikleri (ş, ğ, ı, ö, ü yerine s, g, i, o, u) ve kopuk cümleler.

Garanti BBVA veya Yapı Kredi gibi kurumlar, profesyonel metin editörlerinden geçirilmiş mükemmel Türkçe kullanır. Herhangi bir dil hatası phishing uyarı işaretidir.

Not: Yapay zeka destekli saldırılarda dil kalitesi artmıştır. Bu nedenle kusursuz Türkçe garantili güvenlik anlamına gelmez — diğer belirtilerle birlikte değerlendirin.

Kusur 7: Hover Testini Geçemeyen Linkler

E-postalardaki “Buraya Tıklayın” veya “Güvenliğinizi Doğrulayın” gibi butonların arkasındaki gerçek URL her zaman kontrol edilmelidir.

Masaüstünde hover testi: Fareyi linkin üzerine getirin ama tıklamayın. Tarayıcının sol alt köşesinde gerçek URL görünür. Bu URL bankanın resmi adresiyle eşleşmiyorsa phishing.

Mobilde uzun basma testi: Linke uzun basın. Çıkan menüde “URL Kopyala” veya “Bağlantıyı Göster” seçeneğiyle gerçek adresi görün.

VirusTotal kontrolü: Şüpheli bir linki virustotal.com adresine yapıştırarak 70’ten fazla güvenlik motoruyla tarayabilirsiniz. Tıklamadan önce bu kontrolü yapmak çok değerlidir.

Selçuk’un aldığı SMS’teki link hover testine tabi tutulsaydı “yapikredi-guvenlik.net” adresi hemen dikkat çekerdi — “guvenlik.net” Yapı Kredi’nin resmi domain’i değildir.

Aynı mantığın QR kod üzerinden işleyen türü için quishing (QR kod dolandırıcılığı) rehberimize bakabilirsiniz.

Sanal Kart: Phishing’in Panzehiri

Tüm dikkat ve önlemlere rağmen en iyi savunma sistemi kart bilgilerinin çalınsa bile işe yaramayacağı bir yapı kurmaktır. Sanal kart tam olarak bunu sağlar.

Her online platform için ayrı bir sanal kart oluşturun ve limitini o platformun aylık harcamasıyla sınırlayın. Phishing yoluyla sanal kart bilgisi çalınırsa kartı silin — ana kartınız güvende, zarar o limitin ötesine geçemez.

Özellikle bilinmeyen sitelerde ve deneme aboneliklerinde sanal kart kullanmak en güçlü pratik korunma yöntemidir. Garanti BBVA, Yapı Kredi, Akbank ve İNG bu hizmeti ücretsiz sunmaktadır.

Sık Sorulan Sorular

Phishing SMS’ini açmak bile tehlikeli mi?

Salt açmak zararlı değildir. Tehlike linke tıklamak veya içeriğindeki numarayı aramaktır. SMS’i açıp okuduktan sonra linke tıklamadan silmeniz yeterlidir.

Banka adından gelen e-posta güvenli mi?

İsim alanında banka yazıyor olması hiçbir şey kanıtlamaz. Gerçek gönderici adresini mutlaka kontrol edin. Resmi bankalar yalnızca kendi kurumsal domain’lerinden (.com.tr uzantılı) e-posta gönderir.

Phishing tuzağına düştüğümde ne yapmalıyım?

Bankanızı derhal arayın ve kartlarınızı kilitleyin. İnternet bankacılığı şifrenizi değiştirin. BTK’ya ihbarda bulunun: ihbar.gov.tr. Yetkisiz işlem olduysa chargeback başvurusu yapın.

Yapay zeka ile üretilen phishing mesajları nasıl anlaşılır?

Dil kalitesi artmış olsa da domain hataları, gönderici adresi uyumsuzluğu ve kişisel bilgi talepleri hâlâ geçerli uyarı işaretleridir. Ayrıca bankanızın sizi hiçbir koşulda mesajla kişisel bilgi istemeyeceğini asla unutmayın.

Phishing’i önlemek için antivirüs yeterli mi?

Antivirüs bilinen phishing sitelerini engelleyebilir ama yeni sitelere karşı sınırlıdır. En güçlü koruma teknoloji değil bilinçliliktir. Bu 7 kusuru bilen biri antivirüs olmadan da phishing’i çok daha kolay fark eder.

Yorum yapın

Gizlilik PolitikasiHakkimizdaIletisimKullanim Sartlari
Yasal Uyarı ve Sorumluluk Reddi: FinansalCozum.com'da yer alan tüm içerikler, makaleler ve rehberler tamamen bilgi paylaşımı ve eğitim amaçlıdır. Sitemiz hiçbir şekilde resmi bir yatırım, kredi, hukuk veya finansal danışmanlık hizmeti sunmamaktadır. Burada yer alan bilgiler bir yatırım tavsiyesi (YTD) niteliği taşımaz. İşlem yapmadan önce mutlaka kendi bankanızla veya resmi kurumlarla teyit etmeniz önerilir. © 2026 FinansalCozum.com - Tüm Hakları Saklıdır.