Phishing (Oltalama) nedir?

Phishing veya Oltalama, sahte elektronik iletilere ve web sayfalarına gerçek görüntüsü verilerek hedef kullanıcıların hassas bilgilerini ele geçirmeyi hedefleyen bir siber saldırı türüdür. Bu hassas bilgiler genelde kullanıcı adı ,şifre, kredi kartı bilgisi gibi özel bilgilerdir. Phishing tipik olarak sahte bir e-posta veya farklı elektronik ortam mesajları ile başlatılır. Genelde kullanıcıları gerçek gibi görünen sahte bir web sitesine yönlendirdikten sonra kişisel bilgilerini girmelerini talep ederek devam eder.

Phishing nasıl yapılır?

Phishing saldırıları genellikle şu adımlarla gerçekleştirilir:

  • Önce saldırgan, hedefe sahte görünen bir e-posta, SMS ya da sosyal medya mesajı gönderir; bu iletide banka, e-posta sağlayıcısı veya kamu kurumu gibi güvenilir bir markanın logosu ve dili taklit edilir. Mesaj, acil işlem vurgusu yaparak (“hesabınız askıya alındı”, “ödemeniz gecikti” vb.) kullanıcıyı bir bağlantıya tıklatır ve gerçeğine çok benzeyen sahte bir web sitesine yönlendirir.
  • Bu sitede kullanıcı adı/şifre, kredi kartı bilgileri veya diğer hassas veriler istenir. Benzer yöntemler telefon aramasıyla (vishing) ya da SMS ile (smishing) de uygulanabilir.
  • Kişi panikle doğrulamadan bilgileri girdiğinde saldırgan bu verileri ele geçirir ve yetkisiz erişim için kullanabilir.

Phishing (Oltalama) Nedir?

Phishing Saldırılarının sonuçları

Yapılan araştırmalarda Phishing’in siber suçlular tarafından en çok tercih edilen saldırı yöntemi olduğu görülmektedir. SentinelOne Firması tarafından 2025 yılında yayınlanan Raporda siber saldırıların %75’inin sosyal mühendislik saldırısı olduğu görülüyor. Genelde Phishing yöntemi ile gerçekleştirilen Fidye yazılımı saldırılarının sayısının  önceki  seneye göre  %84 arttığı görülüyor. Yapay Zeka’nın kullanımı ile birlikte Phishing saldırılarında daha fazla artış gözlemlendiği belirtiliyor. Araştırma sonuçları Phishing saldırılarına karşı ciddi önlem alınması gerektiğini göstermektedir.

Phishing saldırıları neden başarılı olur?

Phishing saldırıları ile ilgili akla gelen önemli sorulardan biri de bu saldırıların nasıl bu kadar başarılı olabildiğidir.

Siber suçlular Phishing veya Oltalama saldırılarını internet kullanan herkese karşı düzenleyebilirler. Phishing saldırılarında kullanılan mesaj ve web siteleri sahte olmakla birlikte gerçek gibi görünür. Birçok birey mesaj veya web sitesi içeriğinin gerçek olup olmadığını ayırt edemez ve sahte içeriklere güvenir. Siber saldırganların kullandığı sosyal mühendislik (bknz: Sosyal Mühendislik Nedir? ) yöntemleri hedeflerinin “oltaya gelmesini” daha da hızlandırır. Phishing saldırılarında kullanılan sosyal mühendislik yöntemlerinden bazıları şunlardır:

  • Ödül vadetme: Hedef kullanıcıya bilgilerini girme veya bir bağlantıya tıklama karşılığında cep telefonu, bilgisayar, para ve benzeri ödüller vadedilir.
  • Tehdit Etme / Şantaj: Hedef kullanıcıya bilgisayarının ve bilgisayarındaki bazı kişisel veya kurumsal hassas verilerin/içeriklerin ele geçirildiği ve söylenenleri yapmazsa bu bilgilerin herkese gönderileceği şeklinde mesaj iletilir.
  • Korkutma: Hedef kullanıcıya endişe etmesine neden olacak (örneğin yüksek tutarlı bir fatura) bir sahte bilgi iletilir ve durum biran önce düzeltilmesi için bilgilerini web sitesine girmesi veya belirli bir bağlantıya tıklaması istenir.

Phishing yöntemleri nelerdir?

Siber suçlular gün geçtikçe daha gerçekçi ve etkili Phishing/Oltalama yöntemleri geliştirmektedirler. Yaygın olarak kullanılan yöntemlerden bazıları şunlardır:

Hedefleme yöntemleri

  • Spam Phishing: Birçok kullanıcıya yapılan geniş çaplı bir saldırı türüdür. Bu tür saldırılarda herhangi bir birey özel olarak hedef alınmaz.
  • Spear Phishing (Hedef odaklı): Belirli bir kişiye veya kuruma yönelik, kişiselleştirilmiş oltalama saldırısıdır. Saldırgan, kurbanı daha kolay kandırmak için önceden bilgi toplar.
  • Whaling (Balina avı): Üst düzey yöneticileri hedef alan oltalama saldırısıdır. Genellikle sahte ödeme talebi veya gizli bilgi isteme senaryolarıyla yapılır.

 

Saldırı vektörleri

  • Vishing(Sesli Phishing): Bu tip saldırılarda kullanıcı ile telefondan iletişim sağlanır ve kullanıcıdan saldırıyı tamamlayacak veya kolaylaştıracak bilgiler alınmaya çalışılır.
  • Smishing(SMS Phishing): Mesaj yoluyla yapılan phishing saldırılarıdır. Kişiye gönderilen mesajlarda zararlı yazılım içeren bir link ya da siber saldırganların kullanıcıyı sesli görüşme ile amaçları doğrultusunda yönlendirebileceği bir telefon numarası bulunur.
  • E-Mail Phishing: En yaygın phishing saldırısıdır. Email’ler genelde kullanıcının ilgisini çekecek içeriktedir ( ödül vaadi, korkutma gibi) ve gönderilen maillerin genelde büyük bir aciliyetle açılması istenir. İlgili maillerin içerisinde telefon numaraları, web linkleri ve zararlı yazılım içeren mail eklentileri bulunabilir.

Alınması gereken önlemler

Phishing (oltalama) saldırıları, dijital dünyadaki en yaygın ve etkili dolandırıcılık yöntemlerinden biridir. Kendinizi ve verilerinizi korumak için şu temel kuralları alışkanlık haline getirmek oldukça önemlidir:

Gönderici Adresini Sorgulayın

Saldırganlar genellikle güvenilir bir markayı veya kişiyi taklit eder. Örneğin, e-posta “Apple Destek” isminden gelmiş gibi görünebilir ama adres satırına baktığınızda [email protected] gibi sahte bir uzantı görebilirsiniz. Resmi kurumlar genellikle kendi ana alan adlarını (örneğin: @apple.com) kullanırlar.

Linklere Tıklamadan Önce Kontrol Edin (Hover)

E-posta veya mesaj içindeki bir linke tıklamadan önce, farenizi üzerine getirin (tıklamayın). Ekranın sol alt köşesinde veya imlecin yanında, linkin sizi gerçekte hangi adrese yönlendireceği görünür. Eğer görünen metin ile gerçek URL birbirinden farklıysa, bu bir tuzak olabilir.

Aciliyet ve Korku Senaryolarına Karşı Mesafeli Olun

Phishing saldırılarının çoğu psikolojik baskı üzerine kuruludur.

“Hesabınız askıya alındı.”

“Şüpheli giriş tespit edildi, hemen şifrenizi değiştirin.”

“Adınıza icra takibi başlatıldı.”

Bu tür mesajlar sizi panikle hata yapmaya zorlar. Bu tarz bir bildirim aldığınızda, size gönderilen linke tıklamak yerine, ilgili kurumun resmi web sitesine kendiniz giderek veya mobil uygulamasını kullanarak giriş yapın.

Çok Faktörlü Doğrulamayı (MFA/2FA) Açın

Bu, en güçlü savunma hatlarınızdan biridir. Şifreniz bir şekilde çalınsa bile, saldırganlar telefonunuza gelen onay kodu veya doğrulama uygulaması (Authenticator) olmadan hesabınıza giriş yapamazlar.

Kişisel Bilgi Taleplerine Şüpheyle Yaklaşın

Hiçbir banka, devlet kurumu veya büyük teknoloji şirketi sizden e-posta ya da SMS yoluyla şifrenizi, kredi kartı bilgilerinizi veya kimlik numaranızı istemez. Bu tür bilgilerin talep edildiği her türlü iletişim yöntemi varsayılan olarak şüphelidir.

PhishGuard ürün ve hizmetleri

PhishGuard çalışan farkındalığını Phishing Test ve Farkındalık Eğitimleri aracılığıyla desteklemekte ve geliştirmektedir. . İlgili sayfalarımızdan Phishing Test ve Bilgi Güvenliği Farkındalık Eğitimi modüllerini inceleyebilirsiniz.

Ücretsiz Phishing Quiz ile Phishing saldırılarına karşı ne kadar hazırlıklı olduğunuzu test edin! PhishGuard Phishing Test ve Farkındalık Eğitimleri hizmetleri ile ilgili bilgi almak için lütfen iletişime geçin.