Phishing Saldırıları: Dijital Tuzakların Anatomisi ve Tespit Algoritması Farkındalık Rehberi

• Nexara Academy

Günümüzde dolandırıcılık artık yalnızca telefonla veya eski usul yöntemlerle yapılmıyor. Siber dolandırıcılar her gün daha profesyonel, daha ikna edici ve daha tehlikeli yöntemler geliştiriyor. Bu yazıyı yazma nedenim de aslında tam olarak bu: Artık phishing saldırıları, bir haber başlığı değil, herkesin başına gelebilecek gerçek bir tehlike.

Phishing saldırıları, internet çağında en sık karşılaşılan ve en tehlikeli sosyal mühendislik yöntemlerinden biridir. Bu saldırılar genellikle sahte e-postalar, SMS’ler veya telefon aramaları yoluyla kişilerin kimlik bilgilerini ya da finansal verilerini ele geçirmeyi amaçlar. Yüzeyde basit bir iletişim gibi görünse de aslında insan psikolojisinin ve hızlı karar verme refleksinin derinliklerine oynayan çok katmanlı bir tuzaktır. Bu saldırılar yalnızca teknik bir zaafı değil, insanların psikolojik zaaflarını ve dalgınlığını hedef alır.
Phishing Saldırı Türleri ve Saldırı Seviyeleri

Phishing saldırıları yalnızca klasik e-postalarla değil, günümüzde çok daha farklı kanallarla ve çok daha sofistike yöntemlerle yapılmaktadır. Saldırılar artık kişisel olarak tasarlanıyor, hedefin davranışına ve internet alışkanlıklarına göre özel olarak inşa ediliyor.

En sık karşılaşılan phishing saldırı türleri şunlardır:

• Klasik Phishing (Level 1):
  Toplu e-postalarla geniş kitlelere gönderilen, genellikle basit ve düşük seviyeli saldırılardır.
  Örnek: “Hesabınız askıya alındı, hemen tıklayın.”
• Spear Phishing (Level 2):
  Kişiye özel hazırlanmış, hedefin adı, pozisyonu veya kurumsal bilgilerine odaklanan saldırılardır.
  Örnek: “Merhaba Ayşe, Nexera Academy hesabınız için ödeme hatası tespit edildi.”
• Whaling (Level 3):
  Üst düzey yöneticileri hedef alan ve daha profesyonelce hazırlanmış saldırılardır.
  Örnek: “Nexera Academy Finans Departmanı: Acil ödeme onayı bekleniyor.”
• Smishing (Level 2):
  SMS üzerinden gönderilen sahte mesajlardır.
  Örnek: “Nexera Kargo: Paketiniz teslim edilemedi. Takip için hemen tıklayın.”
• Vishing (Level 2):
  Telefon aramaları yoluyla yapılan sesli saldırılardır.
  Örnek: “Nexera Academy güvenlik biriminden arıyoruz. Hesabınızda şüpheli işlem tespit edildi.”
• Ad-Based Phishing (Level 2):
  Instagram, Google, Facebook gibi sosyal medya reklamları üzerinden yürütülen saldırılardır.
  Örnek: “Nexera Academy Yaz Fırsatı – SOC Analistliği Eğitimi %50 İndirimde. Yalnızca bugün geçerli.”

Bu türler arasında özellikle son dönemde Ad-Based Phishing öne çıkmaktadır. Çünkü saldırganlar artık yalnızca e-posta değil, sosyal medya reklamlarını kullanarak da insanları hedeflemektedir. Özellikle Instagram ve Google algoritmaları, kullanıcının arama geçmişine göre karşısına bu sahte siteleri çıkarmaktadır.
 

Phishing Saldırılarının Psikolojik Yapısı

Phishing saldırılarının teknikten çok, insan davranışına dayalı bir tasarımı vardır. İnsanların hızlı karar verme reflekslerini ve korkularını hedef alır.

Saldırganlar şunları yapar:

• Psikolojik Baskı Kurar: "Hemen işlem yap, yoksa zarar göreceksin."
• Otoriteyi Taklit Eder: Banka, şirket ya da devlet kurumlarının adını kullanır.
• Toplumsal Kanıt Gösterir: “Bu kampanya çok popüler, herkes aldı.”
• Aciliyet Yaratır: “24 saat içinde işlem yapmazsanız hesabınız kapanır.”

İnsan beyni bu tip acil uyarılar karşısında sorgulamadan hızlı karar verme eğilimindedir. Bu da phishing saldırılarını daha da etkili hale getirir.
Örnek simülasyonlarla inceleyelim.

Simülasyon 1: “Hesabınız Askıya Alındı” E-postası (Klasik Phishing – Level 1)

Gönderen: güvenlik@nexeraacademy.com
Konu: Nexera Hesabınız Askıya Alındı
İçerik:

Değerli kursiyerimiz, hesabınızda şüpheli bir etkinlik tespit edilmiştir. Güvenlik nedeniyle hesabınız geçici olarak askıya alınmıştır. Hesabınızı tekrar aktifleştirmek için aşağıdaki bağlantıya tıklayarak doğrulama işlemini tamamlayın.

[Hesabı Aktifleştir]

Bu işlemi 24 saat içinde gerçekleştirmezseniz hesabınız kalıcı olarak kapatılacaktır.

Amaç:
Kursiyerin aciliyet hissiyle hareket edip etmediğini ve bağlantıya tıklayıp tıklamadığını ölçmek.
 

Simülasyon 2: “Bireysel Hedefleme” (Spear Phishing – Level 2)

Gönderen: finans@nexeraacademy.com
Konu: Ödeme Talebiniz Hakkında
İçerik:

Merhaba Ayşe,

Son eğitim paketinizle ilgili ödeme sisteminde bir tutarsızlık tespit edilmiştir. Hesabınızın güvenliğini sağlamak ve sürecin aksamaması adına aşağıdaki bağlantıdan bilgilerinizi tekrar girmeniz gerekmektedir.

[Ödeme Sayfasına Git]

Amaç:
Gerçek isim kullanılarak yapılan hedefli saldırılarda kullanıcı davranışlarını analiz etmek.
 

Simülasyon 3: “Instagram Üzerinden Kurulan Tuzak” (Ad-Based Phishing – Level 2)

Platform: Instagram
Reklam Başlığı: Nexera Academy Yaz Fırsatı – SOC Analistliği Eğitimi %50 İndirimli
İçerik:

Sadece bu haftaya özel! Nexera Academy’nin SOC Analistliği Eğitimi şimdi %50 indirimli.
Kaydınızı tamamlayın, siber güvenlik yolculuğunuza hemen başlayın!

[nexeraacedemy.training/soc-indirim]

Amaç:
Sosyal medya reklamı üzerinden gelen linklerde tıklanma, güven kontrolü yapma ve şüphelenme eğilimini değerlendirmek.
 

Simülasyonlardan Elde Edilen Göstergeler

Yapılan simülasyonlardan sonra sistem şu kriterlere göre analiz yapılabilir:

Gösterge	Açıklama
Tıklama Oranı	Kullanıcıların sahte bağlantıya tıklama oranı
Bilgi Giriş Oranı	Parola, kişisel veri, ödeme bilgisi gibi detayların paylaşılma oranı
Bildirim Davranışı	Simülasyonu fark edip IT birimine bildiren kullanıcı yüzdesi
Tepki Süresi	E-postaya/mesaja ne kadar sürede yanıt verildiği

 

Elde edilen bu veriler, kurumun siber farkındalık seviyesi ve en zayıf halka noktaları hakkında güçlü ipuçları verir. Genellikle en riskli kullanıcı profili dalgın, aceleci ve "kurumsal otorite" ile gelen her mesaja refleksif yanıt veren kişilerdir.
 

Simülasyonların Arkasındaki Gerçek Niyet

Bu senaryolar eğlencelik değil, gerçek hayatta yaşanan olayların laboratuvar versiyonudur.
Saldırganlar artık sadece e-posta göndermiyor; alışveriş tercihlerinizi, sosyal medya davranışlarınızı ve hatta konumunuzu kullanarak sizin zihin alanınıza sızıyorlar.

Ve unutmayın:

Saldırı linki size gelmez. Siz çağırırsınız.

Çünkü sistem şöyle işler:
Sen internette klima ararsın → Instagram algoritması seni etiketler → Dolandırıcı reklam verir → Tam da senin karşına çıkar → Gerçek mi sahte mi olduğunu sorgulamana fırsat kalmadan tıklarsın.

Python ile Basit Bir Phishing Tespit Algoritması

Phishing saldırılarını yalnızca insan gözüyle değil, makine öğrenmesi ile de tespit edebiliriz. Aşağıda verilen örnek Python kodu, temel bir doğal dil işleme (NLP) tekniği kullanarak e-postaların phishing olup olmadığını sınıflandırmak için kullanılabilir.

from sklearn.feature_extraction.text import CountVectorizer
from sklearn.naive_bayes import MultinomialNB
from sklearn.model_selection import train_test_split

Örnek Phishing Veri Kümesi

Aşağıda phishing (oltalama) saldırılarını tanımlayan örnek bir veri kümesi yer alıyor. Bu küme, makine öğrenmesi modelleri için kullanılabilecek şekilde hazırlanmıştır.

E-posta İçeriği	Etiket (Label)
Hesabınız askıya alındı, hemen tıklayın.	1 (Phishing)
Merhaba Ayşe, Nexera ödeme işleminizde hata oluştu.	1 (Phishing)
Nexera SOC eğitimi %50 indirimli, kayıt olun!	1 (Phishing)
Bültenimize abone olduğunuz için teşekkür ederiz.	0 (Güvenli)
Yeni eğitim içeriklerimizi görmek için tıklayın.	0 (Güvenli)
Nexera sisteminizde virüs tespit edildi!	1 (Phishing)

 

Etiket (Label) Değerlerinin Açıklaması

• 1: Bu içerik bir phishing (zararlı/oltalama) saldırısıdır.
• 0: Bu içerik güvenlidir, herhangi bir tehdit içermez.

Bu yapı, örüntü tanıma algoritmalarının phishing davranışlarını öğrenmesi için oldukça önemlidir. İyi hazırlanmış veri kümeleri, güvenlik sistemlerinin daha akıllı hale gelmesinde kritik rol oynar.

email_texts = [
    "Hesabınız askıya alındı, hemen tıklayın.",
    "Merhaba Ayşe, Nexera ödeme işleminizde hata oluştu.",
    "Nexera SOC eğitimi %50 indirimli, kayıt olun!",
    "Bültenimize abone olduğunuz için teşekkür ederiz.",
    "Yeni eğitim içeriklerimizi görmek için tıklayın.",
    "Nexera sisteminizde virüs tespit edildi!",
]
labels = [1, 1, 1, 0, 0, 1]  # 1: phishing, 0: güvenli

# Veri işleme ve model
vectorizer = CountVectorizer()
X = vectorizer.fit_transform(email_texts)
X_train, X_test, y_train, y_test = train_test_split(X, labels, test_size=0.3, random_state=42)

model = MultinomialNB()
model.fit(X_train, y_train)
accuracy = model.score(X_test, y_test)

print(f"Model Doğruluk Oranı: {accuracy * 100:.2f}%")

Bu model daha gelişmiş yapay zeka sistemlerine entegre edilerek kurumsal e-posta trafiğinde otomatik phishing tespiti için temel oluşturabilir.

Simülasyon Sonrası Değerlendirme Raporu (Örnek Verilerle)

Gösterge	Açıklama	Değer (Yüzde / Süre)
Tıklama Oranı	Sahte bağlantıya tıklayan kullanıcıların toplam kullanıcıya oranı	28%
Bilgi Giriş Oranı	Kişisel veri, parola, ödeme bilgisi girenlerin oranı	12%
Bildirim Davranışı	Şüpheli içeriği IT birimine bildiren kullanıcı yüzdesi	16%
Tepki Süresi	Sahte içeriğe verilen ortalama ilk yanıt süresi	4.3 dakika
Simülasyonu Tanıyanlar	İçeriğin sahte olduğunu fark edip işlem yapmayanların oranı	33%

Not: Bu tabloyu her simülasyonun ardından doldurmak, IT ve İnsan Kaynakları tarafından yıllık eğitim planlaması, politika güncellemeleri ve bireysel uyarılar için temel teşkil eder.

Phishing Saldırılarına Karşı Kurumsal ve Bireysel Önlem Rehberi

Bireysel Önlemler (Kullanıcılar ve Son Tüketiciler İçin)

1. Temel Güvenlik Alışkanlıkları

• Şüpheli e-postalara tıklamadan önce gönderici adresi ve bağlantı detayları dikkatlice kontrol edilmelidir.
• Web sitelerinde her zaman HTTPS ve orijinal alan adı doğrulanmalıdır.
• Hiçbir zaman e-posta ya da SMS üzerinden gelen linklerde TC kimlik, şifre, kredi kartı bilgisi girilmemelidir.

2. Tarayıcı ve E-posta Güvenlik Uzantıları

• uBlock Origin, HTTPS Everywhere, Netcraft Extension gibi tarayıcı eklentileri sahte siteleri önceden algılayabilir.
• Gmail ve Outlook gibi platformlarda varsayılan güvenlik filtreleri aktif halde bırakılmalıdır.

3. Şüpheli İçeriği Doğrulama

• Bir bağlantının güvenilirliğini kontrol etmek için:
  • https://www.virustotal.com/
  • https://urlscan.io/
  • https://phishtank.com/
    gibi siteler kullanılabilir.

4. Parola Yöneticisi ve MFA Kullanımı

• Her platform için farklı, karmaşık parolalar oluşturulmalı.
• Bitwarden, 1Password, LastPass gibi parola yöneticileri tercih edilmelidir.
• Mutlaka iki faktörlü doğrulama (2FA) açık bırakılmalıdır.

---

Kurumsal Önlemler (Şirketler ve Organizasyonlar İçin)

1. Sürekli Siber Farkındalık Eğitimi

• Tüm çalışanlara yıl boyunca periyodik olarak phishing ve sosyal mühendislik eğitimi verilmelidir.
• Simülasyonlar uygulanarak gerçekçi senaryolar üzerinden eğitim sağlanmalıdır (bkz: yukarıdaki simülasyon örnekleri).
• Eğitim içerikleri davranışsal siber güvenlik temelli olmalıdır.

2. E-posta Güvenliği ve Yapay Zeka Destekli Filtreleme

• E-posta sunucularında DMARC, SPF ve DKIM kayıtları doğru yapılandırılmalı.
• Microsoft Defender for Office 365, Google Workspace Security, veya Proofpoint gibi kurumsal düzeyde filtreleme araçları kullanılmalı.
• AI tabanlı e-posta güvenlik çözümleri (örneğin: IronScales, Darktrace, Barracuda Sentinel) ile içerik analizi ve anomali tespiti yapılmalıdır.

3. Güvenlik Bilgi ve Olay Yönetimi (SIEM) Entegrasyonu

• SOC ekipleri tarafından kullanılan SIEM sistemleri (Splunk, Elastic, Wazuh vb.) ile log analizi yapılmalı.
• Anormal oturum açma, IP davranışları, veri çıkışı gibi olaylar analiz edilmelidir.

4. Çok Faktörlü Kimlik Doğrulama (MFA)

• Kurumsal sistemlerde her türlü girişte MFA zorunlu hale getirilmelidir.
• SMS tabanlı MFA yerine Authenticator uygulamaları (Microsoft Authenticator, Google Authenticator) veya donanımsal anahtarlar (YubiKey) tercih edilmelidir.

5. Alan Adı Takibi ve Tehdit İstihbaratı

• Markaya benzeyen sahte alan adları (typosquatting) sürekli olarak takip edilmeli.
• Threat intelligence servisleri kullanılarak saldırganların kullandığı IP, alan adı ve URL listeleri analiz edilmelidir.

Phishing Tespiti İçin Yapay Zeka ve Tool Kullanımı

Araç / Teknoloji	Açıklama
Scikit-learn + NLP	Phishing e-postalarını metin analizine dayalı sınıflandırmak için kullanılabilir.
AI E-posta Güvenlik Yazılımları	IronScales, Avanan, Vade Secure gibi araçlar e-posta davranışlarını analiz ederek riskli mesajları engeller.
SIEM + UEBA Entegrasyonu	Anormal kullanıcı davranışlarını yapay zekayla analiz eden sistemler (örneğin: Exabeam, LogRhythm).
Harf Benzetme Algoritmaları	Levenshtein Distance gibi algoritmalarla sahte domainler tespit edilebilir.

 

---

Sonuç ve Tavsiyeler

Siber güvenlik bir teknoloji değil, bir davranış biçimidir.
Kurumlar ve bireyler, yalnızca yazılım değil, aynı zamanda zihinsel farkındalıkla da korunabilir. Teknoloji, saldırganların elinde bir araç olduğu kadar, savunucuların da kalkanı olabilir.

Ancak tüm önlemlere rağmen bir saldırıya maruz kalındığında, ilk 24 saatte yapılacaklar, zararın büyüklüğünü doğrudan etkiler.

---

Bireyler İçin Saldırı Sonrası 7 Maddelik Acil Eylem Listesi

• Bağlantıdan Hemen Çıkın: Tıkladığınız sahte siteyi hemen kapatın, internet bağlantınızı kısa süreliğine kesin.
• Şifreleri Değiştirin: Hangi hesabı kullandıysanız, o hesabın ve aynı şifreyi kullandığınız tüm platformların parolasını değiştirin.
• İki Faktörlü Doğrulama (2FA) Açın: Etkin değilse, ilgili hesaplarda 2FA özelliğini derhal etkinleştirin.
• Banka ve E-Posta Hareketlerini Kontrol Edin: Para çıkışı, şüpheli oturumlar veya yeni cihaz girişleri olup olmadığını inceleyin.
• Cihazınızı Virüs Taramasından Geçirin: Antivirüs veya güvenlik yazılımıyla tam sistem taraması yapın.
• İlgili Kurumlara Bildirimde Bulunun:
  • USOM (Ulusal Siber Olaylara Müdahale Merkezi)
  • İhbarWeb (BTK)
  • [Bankanız ve hizmet sağlayıcınız]
     

Hukuki Süreci Başlatın (Gerekirse):

Kredi kartı, T.C. kimlik, telefon numarası gibi bilgileriniz ifşa olduysa:

• • En yakın Cumhuriyet Savcılığı'na giderek suç duyurusunda bulunun
  • Alternatif olarak e-Devlet üzerinden Jandarma veya Emniyet Siber Suçlarla Mücadele Birimi’ne dijital ortamda başvuru yapabilirsiniz
  • KVKK (Kişisel Verileri Koruma Kurumu) sitesinden kişisel veri ihlali bildirimi yapılabilir
    
    Kurumlar İçin Saldırı Sonrası Yol Haritası
• Olayı İzole Edin: Hedef alınan kullanıcı, e-posta veya sunucu erişimini derhal durdurun.
• SOC veya IT Ekibini Devreye Alın: Olay tespiti, log analizi ve etki alanı haritalaması başlatılsın.
• Etki Analizi ve Kullanıcı Bildirimi Yapın: Kimler etkilendi? Hangi verilere erişildi? Bu bilgileri hem içeriye hem gerekirse kamuya açıklayın.
• Şifreleri Sıfırlayın, Erişimleri Denetleyin: Tüm ilgili hesaplar için şifreler sıfırlanmalı, sistem yetkileri yeniden gözden geçirilmeli.
• Adli Bilişim Süreci Başlatın:
  • Delil saklama, disk yedekleme ve logların korunması kritik önem taşır.
  • Kurumun avukatı aracılığıyla Savcılığa suç duyurusunda bulunulmalı.
  • Ayrıca BTK, USOM ve KVKK’ya gerekli bildirim yapılmalıdır.
• Resmi Kurumlara Bildirin:
  • USOM
  • BTK
  • KVKK
  • Gerekiyorsa Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele
• İtibar Yönetimi ve İyileştirme Planı Hazırlayın: Saldırı sonrası yapılan hataları analiz edin, eğitim ve teknoloji yatırımlarıyla sistemi güçlendirin.

---

Unutmayın:

Siber saldırı sonrası alınan aksiyonlar, bir sonraki saldırının ne kadar başarılı (veya başarısız) olacağını belirler.

Bilinçli kullanıcı + Güncel sistemler + Kurumsal kriz planı = Gerçek güvenlik

Gülnur Kadıoğlu