Phishing E-postası Nasıl Anlaşılır? 2026 Güncel Belirtiler

TL;DR: Phishing 2026'da yapay zeka yardımıyla artık akıcı Türkçe yazıyor, kurum kimliklerini neredeyse mükemmel taklit ediyor. Klasik "yazım hatası varsa şüphelen" sezgisi bitti. Şüphe işaretleri artık daha ince: aciliyet ve tehdit dili, link üzerine gelince farklı bir domain çıkması, gönderici görünen adı ile gerçek e-posta adresinin uyumsuzluğu, beklenmeyen ek dosyalar (.zip, .htm, .iso) ve bilinmeyen bir kanaldan MFA kodu veya kişisel bilgi istenmesi. Şüphe varsa kural net: tıklama, yanıtla, ek açma. Önce ikinci bir kanaldan doğrula.

Phishing nedir, neden 2026'da artıyor?

Phishing, saldırganın güvenilir bir kurum ya da kişiyi taklit ederek kurbandan parola, kart bilgisi, kurumsal kimlik veya çok faktörlü doğrulama (MFA) kodu çalmaya çalıştığı sosyal mühendislik saldırısıdır. Hedef bireysel kullanıcılar olabildiği gibi, son yıllarda özellikle KOBİ ve büyük kurumlardaki finans, IT ve yönetici asistanı rolleri öncelikli hedef haline geldi.

2026'da patlamanın iki ana motoru var. Birincisi üretken yapay zeka. ChatGPT, Gemini ve açık kaynak modeller, saldırganın anadili Türkçe olmasa bile kurum stilini taklit eden kusursuz metin üretmesini mümkün kıldı. İkincisi PhaaS, yani Phishing as a Service. Tıpkı fidye yazılımdaki Ransomware as a Service mantığı gibi, abonelik tabanlı oltalama kitleri kiralanıyor; saldırgan teknik bilgi gerektirmeden hazır şablon, hosting ve panel alıyor. Trendi Microsoft Digital Defense Report ve CISA Phishing uyarıları düzenli olarak raporluyor.

2026 phishing kampanyalarının özellikleri

Yapay zeka destekli kusursuz Türkçe

Eskiden "Sayın müşterimiz hesabınız bloke olmuştur derhal tıklayınız" gibi bozuk cümleler kırmızı bayraktı. 2026'da bu işaret çoğunlukla yok. Saldırgan, banka veya e-Devlet üslubunu istatistiksel olarak ezberlemiş bir modele yazdırıyor. Yerel jargon, hatta kurumun gerçek e-posta imzasındaki ifade kalıpları taklit ediliyor. Yani "dil hissi" tek başına yetersiz kaldı.

Adversary-in-the-Middle (AiTM)

Evilginx2 ve benzeri açık kaynak kitler, kurban ile gerçek servis arasında ters proxy kuruyor. Kullanıcı sahte sayfaya parolasını ve MFA kodunu giriyor; kit aynı anda gerçek servise giriyor ve geçerli oturum çerezini çalıyor. Klasik SMS veya TOTP tabanlı MFA bu saldırıda yetersiz kalabiliyor. KrebsOnSecurity son iki yılda AiTM kampanyalarını birçok kez belgeledi.

Vishing ve smishing

Vishing, telefonla yapılan sosyal mühendislik. Smishing, SMS üzerinden. 2023'te MGM Resorts saldırısı, saldırganların yardım masasını arayıp çalışan kimliğine bürünmesiyle başlamıştı ve şirkete on milyonlarca dolar zarar verdi. 2022'deki Uber breach ise bir taşeron çalışanının kimlik bilgileri çalındıktan sonra MFA bombing (sürekli onay isteği) ve WhatsApp üzerinden "BT'yiz, onaylayın" mesajıyla tamamlandı. Türkiye'de en yaygın smishing senaryosu kargo bildirimi: "Paketiniz beklemede, ücret yatırın."

QR phishing (quishing)

E-posta gövdesine tıklanabilir bağlantı yerine bir QR kod görseli yerleştiriliyor. Çoğu URL filtresi resim içindeki QR'ı taramıyor; kurban kodu telefonuyla okuyor ve kurumsal güvenlik katmanlarının dışında, kişisel cihazda zararlı siteye yönleniyor.

Marka taklidi (brand impersonation)

Microsoft 365, Google Workspace, Yapı Kredi, Türkiye İş Bankası, e-Devlet, KEP servisleri, vergi dairesi ve hatta USOM bilgilendirme yazıları sıkça taklit ediliyor. Logolar piksel piksel kopyalanıyor; gönderici domaini "microsoftsupport-tr.com" gibi yan domainler oluyor.

12 maddelik belirti kontrol listesi

1. Aciliyet dili: "24 saat içinde hesabınız kapanacak", "son uyarı".
2. Tehdit tonu: para cezası, dava, hesap dondurma.
3. Link uyumsuzluğu: bağlantı üzerine gelince (hover) görünen URL ile yazılı metin farklı.
4. Gönderici uyumsuzluğu: Görünen ad "İş Bankası" ama gerçek adres @gmail.com ya da @isbankasi-guvenlik.com.
5. Beklenmeyen ek: .zip, .htm, .iso, .one, .img uzantılı dosyalar.
6. MFA kodu istenmesi: Hiçbir gerçek kurum sizden MFA kodunuzu yazmanızı istemez.
7. Para transfer talimatı: özellikle "yeni IBAN".
8. Tanımadığınız faturalama: "aboneliğiniz yenilendi, iptal için tıklayın".
9. Kişisel veri talebi: TC kimlik, kart CVV, anne kızlık soyadı.
10. İmzasız resmi yazı: gerçek kurum imza bloğu, KEP referans numarası kullanır.
11. URL kısaltma: bit.ly, t.co, tinyurl bağlantıları kurumsal mailde olağan değildir.
12. HTTPS yanıltması: yeşil kilit gördüğünüz için güvenli sanmayın. Saldırgan da Let's Encrypt sertifikası alır.

E-posta header'ından kontrol

Gmail'de "Show original", Outlook'ta "View message source" seçeneği ile ham başlığı görebilirsiniz. Bakılacak alanlar:

• From ve Return-Path aynı domaini göstermeli.
• Received-SPF: pass olmalı.
• DKIM-Signature doğrulanmalı.
• Authentication-Results: spf=pass dkim=pass dmarc=pass ideali. Üçünden biri fail ise alarm.

Örneğin gönderici görünen adı "Google Security" ama Authentication-Results satırında dmarc=fail header.from=google.com yazıyorsa, e-posta neredeyse kesin sahte.

URL kontrolü nasıl yapılır?

Masaüstünde fareyi linkin üzerine getirin, sol altta gerçek URL görünür. Mobilde bağlantıya uzun basın. Şüpheli URL'yi bir text editöre yapıştırıp inceleyin. Üç klasik tuzak:

• Subdomain hilesi: microsoft.com.evil-site.com aslında evil-site.com domainine ait.
• Homograph saldırısı: Kiril alfabesindeki 'а' ile Latin 'a' aynı görünür; pаypal.com Cyrillic karakter içerebilir.
• URL encoding: %2F, %40 gibi karakterler okunabilirliği bozarak gerçek hedefi gizler.

Şüpheli URL'yi tıklamadan analiz etmek için PhishTank veritabanında arayın, ya da urlscan.io üzerinde sandboxed bir tarama çalıştırın.

Şüphe durumunda ne yapmalı?

1. Linke tıklamayın, e-postaya yanıt vermeyin, eki açmayın.
2. Mail içindeki bağlantı yerine ilgili kurumun resmi sitesini tarayıcıya elle yazın.
3. Out-of-band doğrulama yapın: kurumun resmi numarasını web sitesinden bulup arayın. Maildeki numara sahte olabilir.
4. Şirket içiyse BT veya güvenlik ekibine iletin; e-postayı silmeyin, ek olarak yönlendirin (forward as attachment).
5. PhishTank ve USOM'a raporlayın.

"Tıkladım, ne yapmalı?"

Panik çözüm değil. Sıralı hareket edin:

1. İnterneti kesin: cihazı ağdan çıkarın.
2. Şifreyi başka cihazdan değiştirin: aynı şifreyi başka servislerde kullandıysanız hepsini güncelleyin.
3. MFA aktive edin: yoksa hemen kurun, varsa oturumları sonlandırıp yeniden başlatın.
4. Son işlemleri kontrol edin: banka, e-posta, sosyal medya hareketlerini gözden geçirin.
5. Kurumsal cihazsa BT'ye haber verin: adli bilişim taraması başlatılmalı.
6. E-postanızı Have I Been Pwned üzerinde takip edin: bilgi sızdırıldıysa kısa sürede burada görünür.

Eğer ek de açıldıysa ve fidye yazılım belirtisi varsa, Fidye yazılım ilk 24 saat yazımızdaki adımları izleyin.

Kurumsal koruma katmanları

SPF, DKIM, DMARC

Üçü birlikte e-posta sahteciliğine karşı temel savunmadır. Domain'inizin DMARC kaydını dmarcian üzerinden kontrol edebilirsiniz. Hedef p=reject. Geçiş aşamalı yapılır: önce p=none (sadece raporlama), sonra p=quarantine (spam'e), en son p=reject (tamamen ret). Microsoft 365 ve Google Workspace varsayılanları bu kayıtları sizin için kurmaz; manuel ayarlanmalı.

E-posta gateway ve sandbox

Microsoft Defender for Office 365, Proofpoint, Mimecast, Trend Micro gibi çözümler URL rewriting (her bağlantıyı tıklama anında tekrar tarama) ve attachment detonation (eki sanal makinede çalıştırma) sunar. KOBİ ölçeğinde Microsoft 365 Business Premium veya Google Workspace Standard ile başlangıç yeterli olabilir.

Çalışan farkındalık eğitimi

Yılda bir kez slayt sunumu işe yaramıyor. Sürekli simülasyon gerek. KnowBe4, Hoxhunt, Cofense, Mimecast Awareness gibi platformlar sektör bazlı senaryolar üretiyor. Çalışanın gerçekten tıklayıp tıklamadığını ölçen "click rate" metriği zamanla düşmeli.

Phishing simülasyon kampanyaları

Üç ayda bir kontrollü test yapın. Tıklayan kullanıcıya hemen mikro eğitim modülü gönderin. Cezalandırmak yerine öğreten yaklaşım kalıcı davranış değişikliği sağlar.

CEO Fraud ve BEC ayrıntısı

Business Email Compromise, yöneticinin kimliğine bürünüp finans birimine sahte ödeme talimatı göndermeyi içerir. En yaygın varyant "yeni IBAN" senaryosu: yıllardır çalıştığınız bir tedarikçi sözde IBAN değiştirir, ödeme saldırganın hesabına gider. Tek çözüm sertleşmiş bir kural: IBAN değişikliği her zaman ikinci kanaldan, telefonla, tedarikçinin bilinen numarasından doğrulanır. Maildeki numara aranmaz.

KOBİ için minimum 5 kontrol

1. Her hesapta MFA (tercihen donanım anahtarı veya TOTP, SMS son tercih).
2. Domain'de DMARC p=reject.
3. Microsoft 365 veya Google Workspace üzerinde gelişmiş koruma planı.
4. DNS veya tarayıcı seviyesinde URL filtreleme.
5. Yılda en az iki kez tüm çalışanlara farkındalık eğitimi ve simülasyon.

Türkiye'ye özel oltalama desenleri

• e-Devlet kimliği taklidi: "Hakkınızda dava açıldı, detay için giriş yapın."
• KEP sahte fatura: e-fatura görüntüsü gibi görünen .htm eki.
• Vergi dairesi: "İade alacağınız var, IBAN doğrulayın."
• USOM bilgilendirme sahteciliği: "Hesabınızda anormal aktivite, raporu indirin."
• Banka SMS'i: özellikle yıl sonu, bayram dönemlerinde yoğunlaşır.
• Kargo bildirimi: "Gümrük ücreti yatırılmadı." 2026'da AI üretimli akıcı Türkçe metinle yaygınlık daha da arttı.

Bildirim ve raporlama

Şüpheli e-posta veya URL'yi bildirebileceğiniz kanallar:

• USOM ihbar formu (usom.gov.tr).
• PhishTank katkı arayüzü.
• Microsoft Outlook ve Gmail'in dahili "Report phishing" düğmesi.
• Kurumsalsanız SIEM/SOAR platformuna IOC (URL, hash, gönderici) olarak besleyin.

Vaka örnekleri (kamuya açık)

• 2020 Twitter Bitcoin scam: Saldırganlar Twitter çalışanlarını vishing ile kandırıp iç araçlara erişti; Elon Musk, Barack Obama gibi hesaplardan Bitcoin dolandırıcılığı yaptı. Krebs detaylı yazdı.
• 2022 Uber breach: Bir taşeron çalışanın kimlik bilgileri sızdırıldıktan sonra MFA bombing ve WhatsApp üzerinden "BT" kimliğine bürünme ile içeri girildi.
• 2023 MGM Resorts: Yardım masası vishing yoluyla manipüle edildi, fidye yazılım kuruma günde milyonlarca dolar zarar verdirdi.

Üç vaka da ortak şu dersi veriyor: en güçlü teknik kontroller bile, insan zincirindeki bir halka kırılınca yetersiz kalabiliyor.

Sıkça Sorulan Sorular

Şirketim küçük, phishing'i nasıl önlerim?

Önce MFA, sonra DMARC, sonra çalışan eğitimi. Bu üçü olmadan diğer yatırımlar etkisiz kalır. Donanım anahtarı (YubiKey gibi) yönetici hesapları için yıllık 50 dolara mal olur, geri dönüşü çok yüksek.

MFA yeterli mi?

SMS tabanlı MFA AiTM saldırılarına karşı zayıf. Donanım anahtarı (FIDO2/WebAuthn) ya da en azından TOTP uygulaması tercih edin. Yönetici ve finans rolünde donanım anahtarı şart sayılmalı.

Phishing e-postası açtım ama tıklamadım, bulaştı mı?

Modern e-posta istemcilerinde sadece görüntülemek genelde zararsız. Ama uzak görsel yüklemesi (image tracking) ile e-postanızın aktif olduğu saldırgana bildirilir. Riski sıfırlamak için "Bu spam'dir" işaretleyip silin.

Eki açtım ama "izin ver" demedim, risk var mı?

.docx, .xlsx için "Düzenlemeyi etkinleştir"e basmadıysanız makro çalışmamıştır; risk düşük. .htm, .iso, .lnk dosyalarında risk daha yüksek; BT'ye haber verin ve cihazda antivirüs taraması başlatın.

Banka aradı kart bilgilerimi istedi, gerçek mi?

Hayır. Hiçbir gerçek banka telefonla CVV, parola veya SMS kodu istemez. Kapatın, bankanın kartınızın arkasındaki numarasını arayın.

IBAN değişti diye mesaj geldi, ne yapmalı?

Her zaman ikinci kanaldan doğrulayın. Tedarikçinin daha önceden bildiğiniz telefon numarasından arayın. Mail içindeki numarayı asla aramayın.

Kurumsal eğitim için bütçem yok, ne yapabilirim?

CISA, USOM ve KrebsOnSecurity'nin ücretsiz kaynaklarını intranet'e koyabilirsiniz. Aylık 30 dakikalık bir oturum bile farkındalığı belirgin artırır. PhishTank'ten örnek e-postalar gerçek vakaları paylaşmak için kullanılır.

Daha geniş bağlam

Phishing, Türkiye Siber Tehdit Manzarası 2026 tablosunda fidye yazılım, tedarik zinciri saldırıları ve veri sızıntıları ile aynı zincirin halkalarıdır. Çoğu büyük olay bir oltalama e-postası ile başlar; bu yüzden e-posta savunması, kurumsal siber güvenlik stratejisinin değişmez ilk katmanıdır.

DSET ile çalışmak

DSET olarak KOBİ ve orta ölçekli kurumlara üç pakette destek veriyoruz: kurumsal DMARC danışmanlığı (none → quarantine → reject geçişi dahil), aylık phishing simülasyon kampanyası ve çalışan farkındalık eğitimi, ve incident response retainer. Ofisimiz Hacettepe Teknokent Ankara'da. İletişim için +90 536 662 38 09 numarasını arayabilir, dset.com.tr üzerinden form doldurabilirsiniz.

---

Kaynaklar: CISA Phishing Advisories, KrebsOnSecurity, PhishTank, Have I Been Pwned, dmarcian DMARC kontrol, USOM.