Phishing Nedir? Oltalama Saldırılarından Nasıl Korunursunuz? (2026 Rehberi)

Phishing (Oltalama) Nedir?

Phishing (Türkçe: oltalama), siber saldırganların meşru bir kurum, banka veya platform gibi davranarak kullanıcıların kişisel bilgilerini, şifrelerini veya finansal verilerini çalmaya çalıştığı bir dolandırıcılık yöntemidir. "Phishing" kelimesi İngilizce "fishing" (balık avlama) kelimesinden türetilmiştir; tıpkı balıkçının yem atıp balık beklemesi gibi saldırganlar da kurbanlarını sahte bağlantılarla tuzağa düşürür.

Türkiye'de her yıl milyonlarca kişi phishing saldırısına maruz kalmaktadır. Bankacılık bilgilerinden sosyal medya hesaplarına, alışveriş sitelerinden devlet kurumu taklit sitelerine kadar geniş bir alanda gerçekleşen bu saldırıların nasıl çalıştığını bilmek, en etkili korunma yöntemidir.

Phishing Saldırısı Nasıl Çalışır?

Bir phishing saldırısı genellikle şu adımları izler:

1. Sahte içerik hazırlama: Saldırgan, gerçeğine çok benzeyen bir web sitesi, e-posta şablonu veya SMS mesajı hazırlar.
2. Kurbanı yönlendirme: Sahte bir bağlantı (link) e-posta, SMS, WhatsApp mesajı veya sosyal medya aracılığıyla kurbanın önüne gelir.
3. Bilgi çalma: Kullanıcı sahte sayfaya girdiğinde banka şifresi, kart numarası, T.C. kimlik numarası gibi bilgilerini girer. Bu bilgiler doğrudan saldırgana ulaşır.
4. Zararın oluşması: Çalınan bilgilerle banka hesabı boşaltılır, kimlik hırsızlığı yapılır veya hesaplar ele geçirilir.

Phishing Türleri

E-posta Phishing

En yaygın phishing türüdür. Banka, kargo firması veya devlet kurumu gibi görünen bir gönderenden sahte e-posta gelir. E-postada genellikle "Hesabınız askıya alındı", "Ödemeniz başarısız" veya "Paketiniz bekliyor" gibi aciliyet hissi yaratan ifadeler bulunur.

SMS Phishing (Smishing)

Sahte SMS mesajlarıyla gerçekleştirilir. Özellikle Türkiye'de kargo firmaları (MNG, Aras, Yurtiçi) veya PTT taklidi SMS'ler çok yaygındır. Mesajda yer alan kısa bağlantı (bit.ly veya benzeri) sizi sahte siteye yönlendirir.

Telefon Phishing (Vishing)

Saldırgan sizi arayarak banka çalışanı, vergi dairesi memuru veya polis gibi davranır. Telefonda kart bilgilerinizi, SMS doğrulama kodunuzu veya şifrenizi isteyebilir. Unutmayın: Hiçbir banka çalışanı sizden kart şifrenizi veya SMS kodunuzu istemez.

Spear Phishing (Hedefli Oltalama)

Belirli bir kişiyi veya kurumu hedef alan, kişiselleştirilmiş phishing saldırısıdır. Saldırgan, sosyal medya profilinizi inceleyerek adınızı, işyerinizi veya son alışverişlerinizi kullanarak daha inandırıcı bir mesaj hazırlar.

Phishing Linki Nasıl Anlaşılır?

Bir bağlantının phishing olup olmadığını anlamak için şu ipuçlarına dikkat edin:

• Alan adını kontrol edin: garanti.com.tr yerine garanti-bankas1.com veya garanti-giris.xyz gibi adresler sahte olabilir. Harf yerine rakam kullanımına (1 yerine i, 0 yerine o) özellikle dikkat edin.
• HTTPS olması yeterli değildir: Sahte siteler de HTTPS kullanabilir. Kilit ikonu güvenliği garanti etmez, yalnızca bağlantının şifreli olduğunu gösterir.
• Aciliyet ve tehdit içeren dil: "Hesabınız 24 saat içinde kapatılacak", "Hemen tıklayın" gibi ifadeler sizi düşünmeden hareket ettirmeye yöneliktir.
• Beklenmedik mesajlar: Sipariş vermediğiniz bir kargonun takip linki, hesabı olmadığınız bir bankadan gelen uyarı — bunlar phishing sinyalidir.
• Kısa URL'ler: bit.ly/xyz gibi kısaltılmış bağlantılarda gerçek adres gizlenir. Tıklamadan önce URL'yi açık formatta görmeye çalışın.

Türkiye'de Yaygın Phishing Örnekleri (2026)

• Kargo SMS phishing: "Paketiniz teslim bekliyor, adres güncelleyin" mesajıyla gelen sahte Yurtiçi/MNG/PTT linkleri
• e-Devlet taklidi: "Cezanız bulunmaktadır" veya "SGK priminiz eksik" içerikli sahte e-devlet sayfaları
• Banka OTP hırsızlığı: Banka müşteri hizmetleri taklidi aramalarla SMS doğrulama kodu istenmesi
• Sahte yatırım platformları: "Günlük %10 kazanç" vaadeden kripto veya forex platformları
• Trendyol/Hepsiburada taklitleri: Sahte kampanya veya iade bildirimleri

Phishing Saldırısından Korunma Yöntemleri

1. Bağlantıya tıklamadan önce sorgulayın

Şüpheli bir link aldığınızda doğrudan tıklamayın. SahteMi'nin URL sorgulama aracını kullanarak bağlantının güvenli olup olmadığını saniyeler içinde öğrenebilirsiniz.

2. İki faktörlü doğrulamayı (2FA) etkinleştirin

Şifreniz çalınsa bile 2FA sayesinde hesabınıza erişim sağlanamaz. Banka, e-posta ve sosyal medya hesaplarınızda mutlaka etkinleştirin.

3. Tarayıcı güvenlik uyarılarına kulak verin

Chrome, Firefox ve Safari, bilinen phishing sitelerini ziyaret etmeye çalıştığınızda sizi uyarır. Bu uyarıları atlamamaya özen gösterin.

4. Kurum web sitelerine doğrudan gidin

Bankanızdan, kargonuzdan veya resmi bir kurumdan mesaj aldığınızda mesajdaki bağlantıya tıklamak yerine tarayıcınıza kurumun adresini elle yazın ya da daha önce kaydettiğiniz yer imini kullanın.

5. Yazılımlarınızı güncel tutun

Tarayıcı ve işletim sistemi güncellemeleri çoğunlukla güvenlik yamaları içerir. Otomatik güncellemeyi etkinleştirin.

Phishing Kurbanı Olduysanız Ne Yapmalısınız?

1. Şifrelerinizi hemen değiştirin: Etkilenen hesabın ve aynı şifreyi kullandığınız tüm hesapların şifrelerini değiştirin.
2. Bankanızı arayın: Kart veya banka bilgilerini girdiyseniz kartınızı ve hesabınızı kilitletmek için bankanızın 7/24 hattını arayın.
3. Şikâyet edin: Türkiye'de siber suçları BTK'ya (btk.gov.tr) veya Siber Suçlarla Mücadele birimine (egm.gov.tr) bildirebilirsiniz.
4. Sahte siteyi raporlayın: Google Safe Browsing'e ve SahteMi'ye bildirerek başkalarının da korunmasına katkı sağlayın.

Sonuç

Phishing saldırıları giderek daha sofistike hale gelmektedir; ancak temel korunma yöntemleri basittir: şüpheyle yaklaşın, bağlantıları tıklamadan sorgulayın ve kişisel bilgilerinizi yalnızca güvendiğiniz kaynaklara verin.

Şüpheli bir URL, telefon numarası veya IBAN ile karşılaştığınızda SahteMi üzerinden ücretsiz sorgulayabilirsiniz. Google Safe Browsing, VirusTotal ve topluluk raporlarıyla saniyeler içinde risk skoru alın.