Ana içeriğe geç

Kimlik Avı Saldırılarından Nasıl Korunursunuz

Kimlik avı hesap hırsızlığının 1 numaralı sebebi olmaya devam ediyor. Modern kimlik avının nasıl çalıştığını, dikkat edilmesi gereken kırmızı bayrakları ve saldırıları gerçekten durduran pratik savunmaları öğrenin.

2026-04-14

TL;DR

  • Kimlik avı hesap ele geçirmenin 1 numaralı sebebidir — saldırganlar sizi sahte bir sitede kimlik bilgilerinizi vermeye kandırır.
  • Modern kimlik avı kitleri giriş sayfalarını piksel mükemmelliğinde klonlar ve 2FA kodlarınızı gerçek zamanlı olarak proxy eder.
  • Donanım güvenlik anahtarları (YubiKey, FIDO2) tasarım gereği kimlik avına karşı dayanıklı olan tek savunmadır.
  • Şifre yöneticileri yanlış domain'de otomatik doldurmayı reddederek sizi korur.
  • Kimlik bilgilerini girmeden önce tam domain'i kontrol edin ve asla bir e-postadaki bağlantıdan giriş yapmayın.

Kimlik avı nedir?

Kimlik avı, saldırganın meşru bir web sitesinin — genellikle piksel mükemmelliğinde — ikna edici bir kopyasını oluşturup kurbanı orada kimlik bilgilerini girmeye kandırdığı sosyal mühendislik saldırısıdır. Kurban formu gönderdiği anda saldırgan kullanıcı adını, şifreyi ve ikinci faktörü yakalar, ardından saniyeler içinde gerçek hesabı ele geçirmek için kullanır.

Kelime kurbanları yemle (genellikle e-posta) "avlama" metaforundan gelir. Yazım, saldırganların genellikle telefon numaralarını (SMS kimlik avı veya "smishing") ve profesyonel görünümlü altyapı kullandığını vurgulamak için değiştirilmiştir.

Kimlik avının neden hala 1 numaralı tehdit olduğu

Günümüzdeki büyük ölçekli hesap ihlallerinin çoğu hack, şifre kırma veya şifrelemeyi atlatmayı içermez. Bir insanın sahte bir siteye şifre yazmasını içerir. Kimlik avı:

  • Ucuz — saldırgan VPS ve sahte domain maliyetiyle milyonlarca e-posta gönderebilir
  • Filtrelemesi zor — modern kitler domain'leri döndürür, meşru hosting kullanır ve gerçek zamanlı olarak filtrelere uyum sağlar
  • Etkili — güvenlik konusunda bilinçli kullanıcılar bile iyi hazırlanmış hedefli girişimlere (spear phishing) yakalanır
  • Ölçeklenebilir — tek başarılı kimlik avı genellikle şifre yeniden kullanımı sayesinde onlarca bağlı servise erişim sağlar

2024 Verizon Veri İhlali Soruşturmaları Raporu, kimlik avının tüm ihlallerin %36'sından fazlasında ilk erişim vektörü olduğunu buldu — diğer herhangi bir tek sebepten daha fazla.

Modern kimlik avının nasıl çalıştığı

Kimlik avı 2000'lerin "Nijeryalı prens" e-postalarının çok ötesine evrildi. Modern kimlik avı saldırısı tipik olarak şunları içerir:

1. İkna edici yem

Genellikle aciliyet ("Hesabınız askıya alınacak"), otorite ("Microsoft güvenlik ekibi") veya merak ("Birisi sizi bir fotoğrafta etiketledi") yaratan e-posta, metin veya sohbet mesajı. Spear-phishing bunu LinkedIn, ihlal dökümlerinden veya önceki yazışmalardan çekilen kişisel detaylarla daha da ileri götürür.

2. Piksel mükemmelliğinde sahte site

Saldırganlar hedef sitenin HTML, CSS ve JavaScript'ini klonlayan hazır kimlik avı kitleri kullanır. Birçok kit hizmet olarak satılır (phishing-as-a-service), çalışan paneller ve müşteri desteğiyle.

3. 2FA için gerçek zamanlı proxy

Tehlikeli kısım: modern kitler sadece şifrenizi yakalmaz. Yazdığınız her şeyi — TOTP kodunuz dahil — saniyeler içinde gerçek siteye ileten ortadaki adam proxy'si rolü oynarlar, çoğu 2FA'yı atlatır. Bu teknik adversary-in-the-middle (AiTM) olarak adlandırılır ve Evilginx2 ve Modlishka gibi araçlarda kullanılır.

4. Oturum token'ı hırsızlığı

Proxy aracılığıyla kimlik doğrulaması yaptıktan sonra saldırgan oturum çerezinizi yakalar ve şifrenizi değiştirdikten sonra bile giriş yapmış kalabilir. Bu yüzden kimlik avı yanıtı her zaman sadece şifre rotasyonu değil, aktif oturumları iptal etmeyi de içerir.

Kimlik avını gerçekten durduran şeyler

Donanım güvenlik anahtarları (FIDO2 / WebAuthn)

Bu tasarım gereği kimlik avına karşı dayanıklı olan tek savunma kategorisidir. FIDO2 anahtarıyla giriş yaptığınızda anahtarınız kimlik doğrulama isteyen sitenin tam domain'ini kriptografik olarak doğrular. Sahte site — görsel olarak ne kadar mükemmel olursa olsun — farklı domain'e sahiptir, bu yüzden anahtar yanıt vermeyi reddeder. Kriptografik el sıkışma basitçe tamamlanmaz.

Google ünlü olarak 2017'de tüm 85.000+ çalışanı için YubiKey'leri zorunlu kıldı ve sonraki yıllarda şirket hesaplarında sıfır başarılı kimlik avı saldırısı bildirdi.

Passkey'ler

Passkey'ler FIDO2'nin tüketici dostu evrimidir. Aynı domain'e bağlı kriptografiyi kullanırlar ve iOS, Android, macOS ve Windows'a yerleşiktir. Kullandığınız bir site passkey'leri destekliyorsa bir tane etkinleştirmek o hesabı kimlik avına karşı dayanıklı hale getirir.

Şifre yöneticileri

Şifre yöneticisi ikinci savunma hattınızdır çünkü kimlik bilgilerini sadece kaydedildikleri tam domain'de otomatik doldurur. paypal.com yerine paypaI.com'a (büyük I) giderseniz yöneticiniz sessizce formu doldurmayı reddeder. Bu ret, bir şeylerin yanlış olduğunun yüksek sesle uyarısıdır.

E-posta ve DNS filtreleme

E-posta sağlayıcıları sahte gönderen adreslerini tespit etmek için DMARC, SPF ve DKIM kullanır. Çoğu modern sağlayıcı bariz girişimleri yakalar, ancak hedefli saldırılar hala sızar. Filtrelerin gelişmesine yardımcı olmak için posta istemcinizde "kimlik avını bildir" düğmelerini etkinleştirin.

Dikkat edilmesi gereken kırmızı bayraklar

Giriş yapmanızı, doğrulamanızı veya acil hareket etmenizi isteyen bir mesaj aldığınızda:

  • Aciliyet ve tehditler — "Hesabınız 24 saat içinde kapatılacak"
  • Genel selamlamalar — İsminiz yerine "Sayın müşteri"
  • Benzer domain'lerpaypaI.com, app1e.com, secure-microsoft-login.net
  • Beklenmeyen ekler — özellikle görüntülemek için giriş yapmanızı isteyen .zip, .html veya .pdf dosyaları
  • Dilbilgisi veya formatlama hataları — büyük şirketler e-postalarını düzeltir
  • Bağlantı uyumsuzluğu — bağlantının üzerine gelin ve hedefin metinle eşleşip eşleşmediğini kontrol edin

Bir şey garip geliyorsa e-postayı kapatın. Siteye manuel olarak gidin. Gerçek bir sorun varsa normal iş akışınızla giriş yaptığınızda göreceksiniz.

Yakalandıysanız ne yapmalısınız

Hızlı hareket edin — hız önemlidir çünkü saldırganlar kimlik bilgilerini dakikalar içinde kullanmaya başlar.

  1. Şifreyi hemen değiştirin farklı bir cihazda (örneğin dizüstü bilgisayarda yakalandıysanız telefonunuzda)
  2. Tüm aktif oturumları iptal edin hesap ayarlarından — bu çalınmış oturum token'larını kullanan herkesi atar
  3. 2FA'yı etkinleştirin zaten açık değilse, mümkünse donanım anahtarı veya passkey kullanın
  4. Yetkisiz aktiviteyi kontrol edin — gönderilen e-postalar, son girişler, faturalandırma değişiklikleri, yeni yönlendirme kuralları
  5. Etkilenen kurumu bilgilendirin finansal veya iş hesabıysa
  6. Aynı şifreyi kullanan diğer hesapları kontrol edin — şifre tekrar kullanmadığınızdan emin olsanız bile kontrol edin

Sonuç

Kimlik avı teknolojiyi atlayıp insanları hedef aldığı için gelişir. En iyi savunmalar üç katmanı karıştırır: şifre yöneticileri (yanlış domain'lerde otomatik doldurmayı reddet), kimlik avına dayanıklı 2FA (gerçek domain'e bağlanan donanım anahtarları veya passkey'ler) ve sağlıklı şüphecilik (asla e-posta bağlantısından giriş yapma).

Üçünü de en önemli hesabınızda — e-postanızda — önce etkinleştirin. Oradan dijital yaşamınızın geri kalanı anlamlı şekilde daha güvenli hale gelir.

Kimlik Avından Nasıl Korunursunuz

Hesaplarınızı kimlik avı saldırılarına karşı sağlamlaştırmak için pratik, sıralı bir kontrol listesi.

  1. Şifre yöneticisi kullanın:Saygın bir şifre yöneticisi (1Password, Bitwarden, Proton Pass) kurun ve kimlik bilgilerini otomatik doldurmasına izin verin. Benzer domain'lerde otomatik doldurmayı reddederek yerleşik bir kimlik avı dedektörü sağlar.
  2. Kimlik avına dayanıklı 2FA etkinleştirin:En önemli hesaplarınıza FIDO2 donanım anahtarı (YubiKey, Google Titan) veya passkey ekleyin — önce e-posta, sonra bankacılık, bulut depolama ve şifre yöneticisi. Bunlar modern kimlik avını gerçekten durduran tek 2FA yöntemleridir.
  3. Asla e-posta bağlantılarından giriş yapmayın:Giriş yapmanızı isteyen bir e-posta aldığınızda e-postayı kapatın ve bir yer imi aracılığıyla veya URL'yi yazarak siteye manuel olarak gidin. E-postadaki bağlantı mükemmel bir klon olabilir; tarayıcınızdaki yer imi değil.
  4. Yazmadan önce tam domain'i kontrol edin:Herhangi bir şifre girmeden önce adres çubuğundaki tam URL'ye bakın. https, doğru yazım ve paypal.com.secure-login.net gibi ekstra alt domain olmadığını kontrol edin.
  5. Bildirin ve devam edin:Kimlik avı girişimini e-posta sağlayıcınıza bildirin (çoğunda "Kimlik avını bildir" düğmesi vardır). Sonra gününüze devam edin — kimlik avı sadece ona yakalandığınızda tehlikelidir ve farkındalık savaşın çoğunu oluşturur.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email