Phishing (oltalama), saldırganların kendilerini güvenilir bir kurum, kişi veya markaymış gibi göstererek; parola, banka bilgisi, kurumsal e-posta erişimi gibi hassas verileri ele geçirmek ya da kötü amaçlı yazılım çalıştırtmak için kullandığı bir sosyal mühendislik saldırısıdır. Çoğu phishing saldırısı e-posta üzerinden gelir, ancak SMS, telefon ve sahte web siteleri de yaygın kanallardır. Kritik nokta şudur: phishing teknik bir açığı değil, çoğunlukla insan refleksini hedefler. Bu yazıda oltalama türlerini, bir e-postanın sahte olduğunu nasıl anlayacağınızı, SPF/DKIM/DMARC kayıtlarının kurumunuzu nasıl koruduğunu ve çalışan farkındalığını somut adımlarla ele alıyoruz.
Phishing saldırısı tam olarak nasıl çalışır?
Tipik bir oltalama akışı dört adımdan oluşur. Önce saldırgan güvenilir bir gönderici taklit eder (banka, kargo firması, GİB, hatta şirketinizin yöneticisi). Ardından aciliyet veya korku yaratan bir mesaj kurgular: “Hesabınız askıya alındı”, “Faturanızı görüntüleyin”, “Acil ödeme onayı”. Üçüncü adımda kurbanı sahte bir bağlantıya tıklamaya, ek dosya açmaya veya bilgi girmeye yönlendirir. Son adımda elde edilen veri doğrudan kullanılır ya da fidye yazılımı, hesap ele geçirme gibi daha büyük bir saldırıya zemin hazırlar.
Saldırganın en güçlü silahı zaman baskısıdır. “Hemen”, “son 24 saat”, “aksi halde erişiminiz kapanacak” gibi ifadeler, kullanıcının durup düşünmesini engellemek için tasarlanır.
Phishing türleri nelerdir?
Tüm oltalama saldırıları aynı değildir. En sık karşılaşılan türler:
| Tür | Hedef | Tipik yöntem |
|---|---|---|
| Toplu phishing | Geniş, rastgele kitle | Sahte banka/kargo e-postaları |
| Spear phishing | Belirli kişi/departman | Kişiye özel, araştırılmış mesaj |
| Whaling (CEO dolandırıcılığı) | Üst yöneticiler | Sahte acil havale/ödeme talimatı |
| BEC (İş E-postası Ele Geçirme) | Muhasebe, satın alma | Gerçek/benzer adresten sahte fatura |
| Smishing | Cep telefonu | Sahte SMS bağlantıları |
| Vishing | Telefon görüşmesi | Sahte “banka/IT” araması |
Özellikle BEC ve whaling, KOBİ’ler için en pahalı saldırılardır; çünkü doğrudan para transferini hedefler ve genellikle teknik bir zararlı yazılım içermediği için klasik antivirüsler tarafından yakalanmaz. Bu tür saldırılarda saldırgan, gerçek adrese çok benzeyen bir alan adı (örneğin “gizatekonloji.com” gibi harf değişimi) kullanabilir.
Bir e-postanın sahte (phishing) olduğunu nasıl anlarım?
Şüpheli bir e-postayı değerlendirirken aşağıdaki kontrol listesini kullanabilirsiniz:
- Gönderici adresini tam okuyun. Görünen isim (“Banka A.Ş.”) değil, gerçek e-posta adresi önemlidir. Alan adındaki tek harf farkı bile alarmdır.
- Bağlantının üzerine tıklamadan gelin. Linkin gerçek hedefi (mouse ile üzerine gelince çıkan adres) metinde yazandan farklıysa açmayın.
- Beklenmeyen ek dosyalara dikkat edin. Özellikle .zip, .iso, makro içeren Office belgeleri ve .html ekleri risklidir.
- Aciliyet ve tehdit dilini sorgulayın. “Hemen ödeyin”, “hesabınız kapanacak” gibi baskı yaratan ifadeler tipik phishing işaretidir.
- Bilgi taleplerini reddedin. Hiçbir meşru kurum e-posta ile parola, tam kart numarası veya tek kullanımlık şifre (OTP) istemez.
- Dil ve format tutarsızlıklarına bakın. Bozuk Türkçe, garip kurum logoları, genel “Sayın Müşteri” hitabı şüphe nedenidir.
- IBAN/ödeme değişikliği taleplerini ikinci bir kanaldan doğrulayın. Tedarikçi “hesap numaramız değişti” diyorsa, mutlaka telefonla (e-postadaki numaradan değil, bilinen numaradan) teyit edin.
Tek bir işaret bile yeterli değilse, birkaç işaret bir aradaysa e-postayı açmadan IT ekibinize iletin.
SPF, DKIM ve DMARC e-posta güvenliğini nasıl sağlar?
E-posta protokolü (SMTP) tasarımı gereği gönderici adresinin taklit edilmesine açıktır. SPF, DKIM ve DMARC bu açığı kapatan üç tamamlayıcı DNS tabanlı doğrulama mekanizmasıdır:
- SPF (Sender Policy Framework): Alan adınız için “hangi sunucular adıma e-posta gönderebilir” listesini DNS’te yayınlar. Alıcı sunucu, gelen e-postanın yetkili bir IP’den gelip gelmediğini kontrol eder.
- DKIM (DomainKeys Identified Mail): Giden e-postaya kriptografik bir imza ekler. Alıcı, DNS’teki açık anahtarla imzayı doğrulayarak iletinin yolda değiştirilmediğini ve gerçekten sizin alanınızdan geldiğini teyit eder.
- DMARC (Domain-based Message Authentication): SPF ve DKIM sonuçlarını birleştirir; doğrulama başarısız olursa e-postaya ne yapılacağını (raporla, karantinaya al, reddet) belirler ve size düzenli uyum raporları gönderir.
Doğru kurulan bu üçlü, başka birinin sizin alan adınızdan e-posta göndermesini (alan adı taklidini) büyük ölçüde engeller; hem kurumsal itibarınızı hem de müşterilerinizi korur. DMARC politikasını genellikle önce gözlem (p=none) modunda başlatıp raporları inceledikten sonra kademeli olarak p=quarantine ve p=reject seviyesine taşımak en güvenli yaklaşımdır. Yanlış yapılandırma meşru e-postalarınızın da engellenmesine yol açabileceği için bu süreç dikkatli yürütülmelidir.
Kurumsal sunucu, e-posta ve güvenlik yapılandırması konusunda profesyonel desteğe ihtiyaç duyarsanız, Server ve Güvenlik Hizmetlerimiz kapsamında Fortinet güvenlik duvarı çözümleri ve e-posta doğrulama kurulumu sunuyoruz.
Çalışan farkındalığı neden teknik önlemler kadar önemli?
Verizon gibi sektör raporlarının yıllardır vurguladığı tutarlı bir gerçek var: veri ihlallerinin büyük bölümünde insan faktörü (yanlış tıklama, sosyal mühendisliğe kanma) rol oynar. Bu nedenle SPF/DKIM/DMARC, güvenlik duvarı ve antivirüs tek başına yeterli değildir; düzenli çalışan eğitimi en kritik savunma katmanlarından biridir.
Etkili bir farkındalık programı için öneriler:
- Düzenli eğitim verin. Yılda bir kez değil, periyodik kısa hatırlatmalar (e-bülten, kısa video) daha kalıcıdır.
- Simülasyon yapın. Kontrollü, sahte phishing testleriyle çalışanların gerçek davranışını ölçün; ceza değil, eğitim aracı olarak kullanın.
- Net bir raporlama yolu oluşturun. Şüpheli e-postayı tek tıkla IT’ye bildirme imkanı, kullanıcıyı “yanlış yaptım” korkusundan kurtarır.
- Çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın. Parola çalınsa bile MFA, hesap ele geçirmeyi büyük ölçüde engeller.
- Ödeme/IBAN değişikliklerinde çift onay kuralı koyun. Para transferi süreçlerinde ikinci bir doğrulama adımı, BEC saldırılarını etkisiz hale getirir.
KVKK kapsamında kişisel veri işleyen her işletmenin “uygun teknik ve idari tedbirleri” alma yükümlülüğü bulunduğunu, e-posta güvenliği ve çalışan farkındalığının da bu tedbirlerin doğal bir parçası olduğunu hatırlatalım. Yükümlülük detayları ve güncel rehberler için resmi KVKK kaynaklarını kontrol etmenizi öneririz.
Bir phishing e-postasına tıkladıysam ne yapmalıyım?
Hata yaptığınızı fark ettiyseniz hızlı ve sakin davranın:
- Bilgi girdiyseniz ilgili parolaları hemen değiştirin ve MFA’yı etkinleştirin.
- Cihazı ağdan ayırıp IT ekibine/güvenlik sorumlunuza derhal bildirin.
- Banka/ödeme bilgisi paylaştıysanız bankanızla iletişime geçin.
- Olayı belgeleyin (e-postanın kendisini silmeden saklayın) ve gerekiyorsa yetkili mercilere bildirin.
Hızlı müdahale, çoğu durumda zararın büyümesini engeller.
Sıkça Sorulan Sorular
Phishing ile spam aynı şey mi? Hayır. Spam istenmeyen toplu reklam e-postasıdır ve genellikle sadece can sıkıcıdır. Phishing ise bilinçli olarak sizi kandırıp bilgi çalmayı veya zarar vermeyi hedefleyen bir saldırıdır. Her phishing bir tür istenmeyen postadır, ama her spam phishing değildir.
SPF, DKIM ve DMARC kurmak phishing’i tamamen durdurur mu? Bu kayıtlar başkalarının sizin alan adınızı taklit etmesini büyük ölçüde engeller ve kurumsal itibarınızı korur. Ancak farklı bir alan adından gelen oltalama e-postalarını tek başına durdurmaz. Bu nedenle teknik önlemler, çalışan farkındalığı ve MFA ile birlikte katmanlı bir savunma oluşturulmalıdır.
KOBİ olarak bu kadar gelişmiş saldırıların hedefi olur muyum? Evet. Saldırganlar genellikle en güçlü hedefi değil, en zayıf ve hazırlıksız hedefi seçer. Sınırlı BT bütçesi olan KOBİ’ler, özellikle BEC ve fidye yazılımı saldırıları için cazip hedeflerdir. Temel önlemler (MFA, DMARC, eğitim) maliyeti düşük, etkisi yüksek adımlardır.
Çalışanlarıma phishing eğitimini ne sıklıkla vermeliyim? Tek seferlik bir eğitim yeterli değildir. İdeal yaklaşım, periyodik kısa hatırlatmalar ve düzenli (örneğin üç ayda bir) kontrollü simülasyon testleridir. Sürekli tekrar, farkındalığı canlı tutar.
Kurumsal e-posta güvenliğinizi güçlendirelim
Giza Teknoloji olarak Gaziantep/Şehitkamil merkezli, Logo Yazılım yetkili Netsis bayisi ve kurumsal BT hizmetleri sağlayıcısı olarak; Fortinet güvenlik duvarı, e-posta doğrulama (SPF/DKIM/DMARC) kurulumu ve sunucu güvenliği çözümleri sunuyoruz. SPF/DKIM/DMARC yapılandırması, güvenlik duvarı ve çalışan farkındalığı konularında destek almak için bizimle iletişime geçin.
Hemen WhatsApp üzerinden yazın: 0532 599 51 12 — telefonla destek: 0532 599 51 12 — e-posta: bilgi@gizateknoloji.com. Detaylı bilgi için İletişim sayfamızı ziyaret edebilir, çözümlerimizin tamamını Hakkımızda sayfamızdan inceleyebilirsiniz.