Phishing (Oltalama) Nedir ve Sahte Site Nasıl Anlaşılır? (2025)

Q: Phishing'den korunmanın bir numaralı altın kuralı nedir?

**Şüpheci Olmak.** Size gelen bir mesaj, gerçek olamayacak kadar iyi bir teklif sunuyorsa (örn: 'Bedava iPhone kazandınız!') veya sizi paniğe sevk ediyorsa (örn: 'Hesabınız hemen kapatılacak!'), o linke tıklamadan önce mutlaka durup düşünün. Şüphe, en iyi savunmanızdır.

Rehber Sorumlusu: Editör: Hasan Kaya
Güvenilir Bahis Editörü ve Analist

Telefonunuza bankanızdan gelmiş gibi görünen “Hesap güvenliğiniz için lütfen linke tıklayarak şifrenizi güncelleyin” şeklinde bir SMS mi aldınız? Veya bir e-ticaret sitesinden “Kazandığınız hediye çeki için tıklayın” diyen bir e-posta mı? Durun ve tıklamadan önce iki kez düşünün. İnternetin en eski ve en etkili dolandırıcılık yöntemlerinden biri olan Phishing (Oltalama) saldırısı ile karşı karşıya olabilirsiniz. Bu rehberde, siber dolandırıcıların oltasına takılmamanız için sahte bir siteyi gerçeğinden nasıl ayırt edeceğinizi adım adım anlatıyoruz.

Phishing (Oltalama) Nedir? (Dolandırıcıların Yemi)

Phishing, siber suçluların sizi kandırarak şifrelerinizi, kredi kartı bilgilerinizi veya T.C. kimlik numaranız gibi hassas kişisel verilerinizi çalmak için kullandığı bir sosyal mühendislik yöntemidir.

Dolandırıcılar, genellikle güvendiğiniz bir kurum (banka, sosyal medya platformu, kargo şirketi, devlet kurumu) gibi davranarak size bir “yem” atarlar. Bu yem, genellikle aciliyet veya merak uyandıran bir mesajdır. Bu yeme takılıp linke tıkladığınızda, sizi orijinaliyle birebir aynı görünen sahte bir web sitesine yönlendirirler. Siz bilgilerinizi girdiğiniz anda, artık çok geçtir.

Bir Sahte Siteyi Gerçeğinden Ayırt Etme Sanatı: 5 Adımlık Kontrol Listesi

Dolandırıcılar ne kadar profesyonel olursa olsun, arkalarında mutlaka ipuçları bırakırlar. Bir linke tıkladığınızda veya bir siteye bilgilerinizi girmeden önce bu 5 adımlık kontrolü bir alışkanlık haline getirin:

1. URL’yi Bir Dedektif Gibi İnceleyin

Bu, en önemli adımdır. Adres çubuğundaki web sitesi adresini (URL) dikkatlice okuyun. Dolandırıcılar genellikle küçük harf oyunları yaparlar:

Harf Değişikliği: google.com yerine gogle.com
Eklemeler: siteadi.com yerine siteadi-giris.com veya login-siteadi.com
Alan Adı Uzantısı: siteadi.com.tr yerine siteadi.com.net gibi güvenilir olmayan uzantılar.

2. Kilit İkonuna Güvenin: SSL Sertifikası (HTTPS)

Bir web sitesinin adresinin başında https:// ve bir kilit simgesi olmalıdır. Bu, o site ile aranızdaki veri akışının şifrelendiğini gösterir. Eğer bir sitede bu kilit ikonu yoksa ve adresi http:// ile başlıyorsa, o siteye asla şifre veya kişisel bilgi girmeyin. Ancak unutmayın, kilit olması sitenin %100 güvenli olduğu anlamına gelmez, sadece ilk güvenlik katmanını geçtiği anlamına gelir.

3. Tasarım ve Dil Bilgisi Hatalarını Arayın

Büyük ve kurumsal şirketler, web sitelerinin tasarımına ve dil bilgisine özen gösterir. Sahte sitelerde ise genellikle şu hatalar göze çarpar:

Düşük çözünürlüklü, bulanık logolar.
Anlamsız veya devrik cümleler.
Çok sayıda yazım ve imla hatası.
Sitedeki bazı linklerin veya butonların çalışmaması.

4. Acele ve Panik Havasına Dikkat Edin

Phishing saldırılarının en yaygın taktiği, sizi paniğe sevk ederek düşünmeden hareket etmenizi sağlamaktır. Aşağıdaki gibi ifadeler içeren mesajlara ve sitelere her zaman şüpheyle yaklaşın:

“Hesabınız 24 saat içinde kapatılacaktır!”
“Bu son şansınız, teklif sona eriyor!”
“Şüpheli bir giriş tespit ettik, hemen doğrulayın!”

5. İletişim Bilgilerini ve Sosyal Kanıtları Doğrulayın

Gerçek bir şirketin web sitesinde her zaman açık bir “Hakkımızda”, “İletişim” sayfası, bir adres ve bir telefon numarası bulunur. Sahte sitelerde ise bu bilgiler ya hiç yoktur ya da sahtedir. Sitenin adını Google’da aratarak veya sosyal medya hesaplarını kontrol ederek meşruiyetini doğrulayabilirsiniz.

Phishing Saldırısına Uğradıysanız Ne Yapmalısınız?

Eğer bir anlık dalgınlıkla bilgilerinizi sahte bir siteye girdiyseniz:

Hemen Şifrenizi Değiştirin: O sitede kullandığınız şifreyi ve aynı şifreyi kullandığınız diğer tüm hesapların (e-posta, sosyal medya vb.) şifrelerini derhal değiştirin.
Bankanızla İletişime Geçin: Eğer kredi kartı veya banka bilgilerinizi girdiyseniz, durumu hemen bankanıza bildirerek kartınızı iptal ettirin ve şüpheli işlemleri kontrol edin.
Durumu Bildirin: İlgili platformu (Instagram, Facebook vb.) ve USOM gibi resmi kurumları sahte site hakkında bilgilendirin.

Sıkça Sorulan Sorular

En yaygın phishing yöntemi nedir?

Günümüzde en yaygın yöntemler SMS (Smishing) ve e-posta yoluyla oltalama saldırılarıdır. Dolandırıcılar, kargo takip, fatura ödeme, hediye çeki veya hesap güvenlik uyarısı gibi sahte bahanelerle size aciliyet hissi veren mesajlar göndererek linklere tıklamanızı sağlamaya çalışır.

Yanlışlıkla bir phishing linkine tıkladım, ne yapmalıyım?

Panik yapmayın. Eğer sadece linke tıkladıysanız ama herhangi bir bilgi (şifre, T.C. kimlik no vb.) girmediyseniz, hemen tarayıcı sekmesini kapatın. Eğer bilgi girdiyseniz, o bilgiyle ilişkili tüm şifrelerinizi (örneğin e-posta, banka) derhal değiştirin ve durumu ilgili kuruma (banka vb.) bildirin.

Bankalar veya resmi kurumlar SMS ile link gönderir mi?

Hayır. Bankalar, e-devlet gibi resmi kurumlar veya saygın şirketler, sizden SMS veya e-posta yoluyla gelen bir linke tıklayarak şifrenizi veya kişisel bilgilerinizi girmenizi asla istemez. Bu tür mesajlar %99.9 ihtimalle dolandırıcılıktır.

Adres çubuğundaki kilit işareti (HTTPS) sitenin %100 güvenli olduğu anlamına mı gelir?

Hayır. Kilit işareti (SSL/TLS sertifikası), sadece sizin tarayıcınız ile o web sitesi arasındaki veri akışının şifrelendiği anlamına gelir. Bu önemlidir, ancak sitenin kendisinin dolandırıcı olup olmadığını göstermez. Günümüzde dolandırıcılar da kendi sahte siteleri için ücretsiz SSL sertifikası alabilmektedir.

Bir phishing sitesini nereye şikayet edebilirim?

Phishing sitelerini Türkiye’de Ulusal Siber Olaylara Müdahale Merkezi’ne (USOM) bildirebilirsiniz. Ayrıca Google Güvenli Tarama (Safe Browsing) sayfası üzerinden de şikayette bulunabilirsiniz.

Antivirüs programım beni phishing'den korur mu?

Büyük ölçüde evet. Kaliteli bir antivirüs veya internet güvenliği yazılımı, bilinen phishing sitelerini veritabanında tutar ve bu sitelere girmeye çalıştığınızda sizi uyararak engeller. Bu çok önemli bir savunma katmanıdır.

HTTP ile HTTPS arasındaki fark tam olarak nedir?

HTTP’de verileriniz şifresiz gider, yani aradaki herkes tarafından okunabilir. HTTPS’deki ‘S’ (Secure) ise verilerinizin şifrelendiği anlamına gelir. Bir sitede şifre, kredi kartı gibi bilgiler girecekseniz, adresin https:// ile başladığından kesinlikle emin olmalısınız.

Phishing siteleri neden bu kadar gerçekçi görünüyor?

Çünkü dolandırıcılar, hedefledikleri bankanın, sosyal medya platformunun veya e-ticaret sitesinin tasarımını, logosunu ve yazı tiplerini birebir kopyalarlar. Amaçları, sizi bir anlık dikkatsizlikten faydalanarak kandırmaktır.

Hedefli oltalama (spear phishing) nedir?

Bu, daha tehlikeli bir türdür. Dolandırıcılar, size isminizle hitap eden, çalıştığınız şirket veya ilgi alanlarınız hakkında bilgiler içeren, çok daha kişisel ve inandırıcı e-postalar gönderir. Bu tür saldırılara karşı daha da dikkatli olmak gerekir.

Phishing'den korunmanın bir numaralı altın kuralı nedir?

Şüpheci Olmak. Size gelen bir mesaj, gerçek olamayacak kadar iyi bir teklif sunuyorsa (örn: ‘Bedava iPhone kazandınız!’) veya sizi paniğe sevk ediyorsa (örn: ‘Hesabınız hemen kapatılacak!’), o linke tıklamadan önce mutlaka durup düşünün. Şüphe, en iyi savunmanızdır.

Levabet SMS İptali ve Doğrulama Sorunları (Kesin Çözüm 2025)

Levabet'ten gelen istenmeyen SMS'leri nasıl iptal edebilirsiniz? Giriş için SMS doğrulama kodu gelmiyor sorununun kesin çözümleri rehberimizde.

Sahte Levabet Siteleri Nasıl Anlaşılır? (2025 Korunma Rehberi)

Sahte Levabet sitelerine dikkat! Dolandırıcı siteleri nasıl tespit edeceğinizi, URL ve SSL kontrolü gibi adımlarla güvenliğinizi nasıl sağlayacağınızı …