Türkiye'de Phishing Trendleri 2026
Kargo, Banka, Kamu Sahteleri

2026 Manzarası

Phishing, yani oltalama, saldırganın meşru bir kurum kılığına bürünerek kullanıcıyı kandırmasına ve onun kimlik bilgisi, finansal verisi ya da cihazına zararlı yazılım yüklemesine yönelttiği saldırı tipidir. Türkiye'de son yıllarda bu tehdidin biçimi belirgin şekilde değişti.

Birinci değişim kanal kaymasıdır. Saldırı yoğunluğu e-postadan SMS ve sesli aramaya doğru kaydı; kullanıcılar artık e-postaya daha şüpheyle yaklaşırken cep telefonuna gelen kısa bir mesajdaki bağlantıya çok daha kolay tıklıyorlar. İkinci değişim yerlileşmedir; mesajlar artık akıcı bir Türkçeyle yazılıyor, kurumların logoları doğru kullanılıyor, telekom operatörlerinin başlıkları taklit ediliyor. "Türkçesi bozuk bir e-posta gördüm, demek ki phishing" sezgisi artık güvenilmez bir filtredir. Üçüncü değişim hedeflenmenin sofistikeleşmesidir; toplu ve gelişigüzel kampanyalar yerine artık KOBİ muhasebecilerine, e-ticaret site sahiplerine, banka müşterilerine veya kurumsal finans yöneticilerine yönelik özel olarak hazırlanmış kampanyalar yapılıyor.

Bilgi Teknolojileri ve İletişim Kurumu, BDDK ve TCMB düzenli aralıklarla smishing ve vishing konusunda uyarılar yayımlıyor; bankalar ve PTT, kullanıcılarına "şüpheli bağlantıya tıklamayın" mesajını periyodik olarak tekrarlıyor. Tablonun ciddiyetini bu uyarıların sıklığı bile gösteriyor.

Birinci Kalıp: Kargo Bildirimi

Türkiye'deki en yaygın phishing kalıbı budur. Tipik SMS şuna benzer: "Sayın müşterimiz, kargonuz adres bilgisi eksik olduğu için teslim edilemedi. Lütfen şu bağlantıdan güncelleyin: trendyolkrgo[.]xyz/teslim".

Bu kalıbın bu kadar başarılı olmasının birkaç nedeni var. Birincisi, kullanıcının gerçekten kargo bekliyor olma ihtimali yüksektir; Trendyol, Hepsiburada ve Amazon TR yoğunluğu düşünüldüğünde herhangi bir gün birkaç paket sırada olabilir. İkincisi, mesaj aciliyet duygusu yaratır; "teslim edilemedi" ifadesi yarın değil bugün çözülmesi gereken bir sorun gibi okunur. Üçüncüsü, bağlantının mobil ekranda tam halini görmek zordur; trendyolkrgo veya mngkargo-tr gibi tipo-squatting alan adları gözden kaçar.

Saldırının asıl hedefi genellikle ya kart bilgisi toplamaktır (sahte bir "1 TL teslim ücreti" formuyla) ya da banka kimlik bilgilerini ele geçirmektir (sahte 3D Secure sayfasıyla). Tipik savunma sinyalleri şunlardır: bağlantı alan adı gerçek kargo şirketinin alt alan adı değildir, gönderici numarası kurumun resmi başlığı yerine rastgele bir numaradır ve çoğu zaman mesaj yurt dışından veya sanal bir numaradan gelir.

İkinci Kalıp: Banka Uyarısı

Bu kategorinin tipik örnekleri "hesabınız geçici olarak kısıtlandı", "yeni cihazdan giriş tespit edildi", "kart limitiniz aşıldı" gibi mesajlardır. Örneğin: "GarantiBBVA: Hesabınızda şüpheli işlem tespit edildi. Onaylamak için: garantibbva-onay[.]com/dogrula".

Bu kalıp çalışıyor çünkü en güçlü psikolojik tetikleyicilerden birini, para kaybı korkusunu kullanıyor. Üstelik bankalar gerçek hayatta da kullanıcılarına SMS gönderiyor; bu yüzden sahte mesajla gerçek mesajı ayırt etmek kullanıcı için her zamankinden zor. 3D Secure penceresinin taklidi son derece inandırıcı yapılıyor; kart numarası, CVV ve tek kullanımlık şifre saniyeler içinde saldırgana geçebiliyor.

Bu kalıbın daha sofistike bir varyantı vishing'dir; saldırgan "banka çağrı merkezi" olarak telefonla arar ve "hesabınızda dolandırıcılık girişimi var, bunu iptal etmek için OTP'nizi söyleyin" gibi senaryolar üzerinden çalışır. Yaşlı kullanıcılar bu varyantın özellikle hassas hedef kitlesidir; banka çağrı merkezinden geliyormuş izlenimi otoritenin gücüyle birleştiğinde direnç hızla kırılabilir.

Üçüncü Kalıp: e-Devlet ve Kamu Taklidi

Bu kategori Türkiye'ye özgüdür ve devlet otoritesinin yarattığı baskıyı kullanır. Saldırgan e-Devlet, Gelir İdaresi Başkanlığı, Adliye veya SGK kılığına girer. Tipik örnek: "e-Devlet: Adınıza idari para cezası kaydedilmiştir. Detay için: edevlet-ceza[.]xyz/sorgula".

Yaygın varyantları arasında ödenmemiş trafik cezası icra takibi, sahte yargı tebligatı, sahte vergi mükellefiyeti bildirimi ya da "pasaportunuz teslim için hazır" türünden mesajlar bulunur. Bu kalıbın bu kadar etkili olmasının iki sebebi var: devlet otoritesi korkusu güçlü bir psikolojik tetikleyicidir, ve kullanıcıların büyük bir kısmı kamu kurumlarının iletişim alışkanlıklarını net olarak bilmez. Oysa gerçek bir kamu kurumu vatandaşı dış bağlantıya yönlendirmez; resmi bildirim ya e-Devlet uygulaması içinden ya da bağlantısız bir SMS olarak iletilir.

Dördüncü Kalıp: Sahte Fatura ve KEP

Bu kategori daha çok kurumsal hedefli (B2B) bir saldırı tipidir ve genellikle e-posta üzerinden ilerler. Tipik bir örnek: "FATURA #2026-453 - ABC Tic. Ltd. Şti." konulu bir e-posta, "ekteki faturanın üç iş günü içinde ödenmesi gerekmektedir" notuyla birlikte gelir; ekte ise zararlı bir yürütülebilir dosya veya disk imajı saklanır.

Hedef segmenti net: muhasebe, satın alma ve finans departmanları. Bir kurumda bu rollerde çalışanlar günde onlarca fatura görüyor; içlerinden birinin sahte olduğunu fark etmek alışkanlık ve dikkat gerektirir. Daha gelişmiş bir varyant Kayıtlı Elektronik Posta sistemi taklididir; KEP resmi yazışmaya benzeyen estetiğiyle kullanıcıya güven verir ve sahte bir KEP bildirimi gerçek bir kuruma çıkma izlenimi yaratır.

Saldırının nihai hedefi genellikle ya fidye yazılımı yerleştirmek, ya BEC (Business Email Compromise) tarzı zincirleme bir dolandırıcılığı başlatmak, ya da kurumsal hesaba kimlik avı yapmaktır. Üç hedef de ciddi finansal etki üretebilir.

Kanal Kayması: Mobil Çağ

2020'lerin ortasından itibaren Türkiye'de oltalama trafiğinin dağılımı belirgin şekilde mobil tarafa kaydı. Smishing, yani SMS oltalaması artık birinci öncelik. Düşük maliyetli olması, geniş erişim sağlaması ve kullanıcıların SMS'e e-postaya kıyasla daha az şüpheyle yaklaşması bu kayışın itici güçleri.

Vishing, yani sesli aramayla oltalama, yüksek değerli hedefler için tercih edilen kanal haline geldi. VoIP üzerinden sahte arama yapmak ucuz; çağrı kimliğinin orijinal kuruma ait görünmesini sağlamak da artık zor değil. Yaşlı kullanıcılar ve kurumsal finans yöneticileri vishing'in iki ana hedef segmentidir. Üçüncü kanal WhatsApp ve Telegram üzerinden gelen sahte "banka müşteri hizmeti" hesapları ve uydurma iş ilanı gruplarıdır. E-posta hâlâ kurumsal segmentte etkili olmaya devam ediyor, ama bireysel kullanıcı tarafında gerileme açıkça gözleniyor.

Kurumsal Savunma: Üç Katmanlı Yaklaşım

Bir kurum için phishing savunması tek bir araç ya da tek bir politikayla çözülmez; üst üste binen üç katmandan oluşur. Bu katmanların herhangi birini ihmal etmek, diğer ikisinin yükünü artırır.

Teknik Katman

İlk katman teknik kontrollerden oluşur. E-posta kimlik doğrulaması (SPF, DKIM ve DMARC üçlüsü) doğru yapılandırıldığında sahte göndericiler kapıdan içeri alınmaz; DMARC reddetme politikasının "reject" moduna geçirilmesi bu üçlünün bel kemiğidir. E-posta güvenlik ağ geçidi bilinen oltalama URL'lerini ve zararlı ekleri tarar; URL yeniden yazma katmanı, kullanıcı bir bağlantıya tıkladığında onu güvenlik kontrolünden geçirir. Uç nokta korumasında EDR ürünü makro tabanlı ve betik tabanlı zararlıları yakalar; kurumsal mobil cihazlar için ise MDM ile yetkisiz uygulama yüklemesinin önüne geçilir.

Süreç Katmanı

İkinci katman süreç tasarımıdır. Çalışanların şüpheli bir e-posta gördüklerinde tek tıkla bunu bildirebileceği bir mekanizma (Outlook veya Gmail eklentisi olarak) kurulmalıdır; gelen bildirimler SOC tarafından incelenir ve gerçek tehdit ortaya çıkarıldığında geri kalan çalışanlar uyarılır. Ödeme talimatları yalnızca e-posta üzerinden değil, kayıtlı bir numaradan yapılan telefon doğrulamasıyla onaylanmalıdır. CEO fraud iddiası geldiğinde nasıl davranılacağı yazılı bir BEC playbook'unda tanımlı olmalıdır.

İnsan Katmanı

Üçüncü katman çalışan farkındalığıdır. Düzenli ve periyodik eğitim olmadan diğer iki katman havada kalır; çünkü phishing kalıpları sürekli değişir ve insan, savunmanın son hattıdır. Bunun yanına düzenli phishing simülasyonları eklenir; çalışanlara kontrollü olarak sahte e-posta veya SMS gönderilir, tıklama oranları ölçülür ve yüksek riskli kullanıcılara ek eğitim verilir. AltaySec'in Prisma platformu, Türkiye'ye özel olarak hazırlanmış yerli senaryolarla bu işi yapmak için tasarlanmıştır.

Çalışan Farkındalığı ve Etkili Simülasyon

Phishing simülasyonunun amacı çalışanı utandırmak değildir; davranışı değiştirmektir. Etkili bir simülasyon programı birkaç temel ilkeye dayanır. Birincisi, senaryolar yerli olmalıdır; aralık ayında gönderilen bir kargo SMS'i, vergi dönemine yakın bir GİB taklidi ya da bayram öncesi banka uyarısı gerçek tehditle aynı bağlamda çalışır. İkincisi, zorluk kademeli olmalıdır; ilk simülasyonlar açık ipucu içerebilir, ileriki seviyeler ise sofistike kalıplar barındırır.

Üçüncü ilke, tıklayan kişiye anlık geri bildirim vermektir. "Bu bir simülasyondu, dikkat etmediğiniz işaretler şunlardı" gibi bir öğretici sayfa, cezalandırma değil eğitim sunar; bu yaklaşım kullanıcının bir daha aynı hatayı yapma olasılığını azaltır. Dördüncüsü, metrikler düzenli olarak izlenmelidir: departman bazlı tıklama oranı, bildirim oranı, tekrar tıklayan kullanıcı sayısı gibi göstergeler programın olgunluğunu gösterir. Beşincisi, yöneticilerin önce eğitilmesidir; finans direktörleri ve muhasebe yöneticileri saldırganların en yüksek değerli hedefleridir ve onların hazırlığı tüm kurumun savunmasını belirler.

Sık Yapılan Hatalar

Phishing programlarında en yaygın yanılgıların başında tek seferlik eğitim mantığı gelir. "Geçen yıl phishing eğitimi yaptık" demek savunma değildir; çalışanlar kısa sürede unutur, saldırgan ise kalıpları sürekli değiştirir. Bir başka klasik hata yabancı senaryolu simülasyonlar kullanmaktır; "IRS tax refund" gibi senaryolar Türk çalışanı için anlamsızdır, tıklama oranları gerçek bir tehdit ölçümü vermez.

Çalışanı cezalandırmak, korkuyla beslenen bir gizleme kültürü doğurur; tıklayan kişi bunu bildirmez, sızıntı SOC'a hiç ulaşmaz. DMARC'ı "monitor" modunda yıllarca tutmak, raporları toplar ama gerçek korumayı geciktirir; reject moduna geçilmediği sürece sahte gönderici reddi gerçekleşmez. Vishing'i unutmak, yalnızca e-posta odaklı program kuran kurumların yaygın körlüğüdür; telefon kanalı tamamen açık bırakılır. Son olarak "teknik araç çözer" varsayımı sıkça düşülen bir tuzaktır; hiçbir e-posta güvenlik ürünü yüzde yüz yakalama yapmaz, insan katmanı vazgeçilmezdir.

Sonuç

Türkiye'de oltalama saldırıları artık yerlileşmiş, mobil ağırlıklı ve hedeflenmiş bir tehdit kategorisidir. Bireysel kullanıcılar için kargo, banka ve kamu kılığı en sık karşılaşılan kalıplardır; kurumsal segmentte ise sahte fatura ve KEP taklitleri öne çıkar. Savunma; teknik kontroller, süreç tasarımı ve insan farkındalığı olmak üzere üç katmanın birlikte çalıştığı bir yapıyla kurulur.

AltaySec olarak Prisma platformu üzerinden Türkiye'ye özel hazırlanmış yerli senaryolarla phishing simülasyonu hizmetleri sunuyoruz. Bir sonraki yazıda phishing'in yeni nesil katmanı olan, deepfake ses ve yapay zeka üretimli e-postaları içeren AI Destekli Phishing'i ele alacağız.