Ana içeriğe geç

Kimlik Avı Saldırılarından Nasıl Korunursunuz

Kimlik avı, hesapların ele geçirilmesinin 1 numaralı nedenidir. Modern kimlik avının nasıl çalıştığı, uyarı işaretleri ve saldırıları gerçekten durduran savunmalar.

Son güncellenme: 14 Nisan 2026

Özet

  • Kimlik avı, hesap ele geçirmelerinin 1 numaralı nedenidir — saldırganlar sizi sahte bir sitede kimlik bilgilerinizi vermeye kandırır.
  • Modern kimlik avı kitleri, giriş sayfalarını piksel piksel kopyalar ve 2FA kodlarınızı gerçek zamanlı olarak proxy aracılığıyla iletir.
  • Donanım güvenlik anahtarları (YubiKey, FIDO2), tasarım gereği kimlik avına karşı dayanıklı tek savunmadır.
  • Parola yöneticileri, yanlış alanda otomatik doldurma yapmayı reddederek sizi korur.
  • Kimlik bilgilerinizi girmeden önce tam alan adını kontrol edin ve bir e-postadaki bağlantı üzerinden asla giriş yapmayın.

Kimlik avı nedir?

Kimlik avı, bir saldırganın meşru bir web sitesinin inandırıcı bir kopyasını — çoğunlukla piksel piksel — oluşturarak kurbanı oraya kimlik bilgilerini girmeye kandırdığı bir sosyal mühendislik saldırısıdır. Kurban formu gönderdiği anda saldırgan kullanıcı adını, parolayı ve ikinci faktörü ele geçirir; ardından bunları saniyeler içinde gerçek hesabı devralma amacıyla kullanır.

"Phishing" kelimesi, kurbanları yem (genellikle bir e-posta) ile "balık avlamak" metaforundan gelir. Yazım, saldırganların sıklıkla phone (telefon) numaralarını (SMS kimlik avı veya "smishing") ve profesyonel görünümlü altyapıyı kullandığını vurgulamak için değiştirilmiştir.

Kimlik avı neden hâlâ 1 numaralı tehdit?

Günümüzdeki büyük ölçekli hesap ihlallerinin büyük çoğunluğu, hacklemek, parola kırmak veya şifrelemeyi atlatmakla ilgili değildir. Bir insanın sahte bir siteye parola yazmasıyla ilgilidir. Kimlik avı:

  • Ucuzdur — bir saldırgan, bir VPS ve sahte bir alan adı maliyetiyle milyonlarca e-posta gönderebilir
  • Filtrelemesi zordur — modern kitler alan adlarını döndürür, meşru barındırma hizmetleri kullanır ve gerçek zamanlı olarak filtrelere adapte olur
  • Etkilidir — güvenlik bilincine sahip kullanıcılar bile iyi hazırlanmış hedefli girişimlere (spear phishing) kanabilir
  • Ölçeklenebilirdir — tek bir başarılı kimlik avı girişimi, parola yeniden kullanımı yoluyla genellikle onlarca bağlı hizmete erişim sağlar

2024 Verizon Veri İhlali Araştırmaları Raporu, kimlik avının tüm ihlallerin %36'sından fazlasında ilk erişim vektörü olduğunu ortaya koymuştur — başka herhangi bir tek nedenden daha fazla.

Modern kimlik avı nasıl çalışır?

Kimlik avı, 2000'lerin "Nijeryalı prens" e-postalarının çok ötesine geçmiştir. Modern bir kimlik avı saldırısı tipik olarak şunları içerir:

1. İnandırıcı bir yem

Genellikle aciliyet ("Hesabınız askıya alınacak"), otorite ("Microsoft güvenlik ekibi") veya merak ("Birisi sizi bir fotoğrafta etiketledi") yaratan bir e-posta, kısa mesaj veya sohbet mesajı. Spear phishing, LinkedIn, ihlal veritabanları veya önceki yazışmalardan alınan kişisel ayrıntılarla bunu daha da ileri taşır.

2. Piksel piksel sahte site

Saldırganlar, hedef sitenin HTML, CSS ve JavaScript içeriğini kopyalayan hazır kimlik avı kitleri kullanır. Pek çok kit, çalışan kontrol panelleri ve müşteri desteğiyle birlikte hizmet olarak (phishing-as-a-service) satılmaktadır.

3. 2FA için gerçek zamanlı proxy

Tehlikeli olan kısım şudur: modern kitler yalnızca parolanızı ele geçirmez. Yazdığınız her şeyi — TOTP kodunuz dahil — saniyeler içinde gerçek siteye ileterek çoğu 2FA'yı atlatan bir ortadaki adam proxy'si gibi davranır. Bu teknik adversary-in-the-middle (AiTM) olarak adlandırılır ve Evilginx2 ve Modlishka gibi araçlarda kullanılır.

4. Oturum belirteci hırsızlığı

Proxy üzerinden kimlik doğrulaması yaptığınızda saldırgan oturum çerezinizi ele geçirir ve parolanızı değiştirseniz dahi oturumu açık tutmak için bunu kullanabilir. Bu nedenle kimlik avına verilen yanıt her zaman yalnızca parola değiştirmeyi değil, etkin oturumları iptal etmeyi de kapsar.

Kimlik avını gerçekten ne durdurur?

Donanım güvenlik anahtarları (FIDO2 / WebAuthn)

Bu, tasarım gereği kimlik avına karşı dayanıklı tek savunma kategorisidir. FIDO2 anahtarıyla giriş yaptığınızda anahtarınız, kimlik doğrulaması isteyen sitenin tam alan adını kriptografik olarak doğrular. Görsel olarak ne kadar mükemmel olursa olsun sahte bir site farklı bir alan adına sahiptir; dolayısıyla anahtar yanıt vermeyi reddeder. Kriptografik el sıkışması basitçe tamamlanmaz.

Google, 2017 yılında 85.000'den fazla çalışanı için YubiKey kullanımını zorunlu kıldı ve o günden bu yana şirket hesaplarında sıfır başarılı kimlik avı saldırısı bildirdi.

Passkey'ler

Passkey'ler, FIDO2'nin tüketici dostu evrimi olup aynı alan adına bağlı kriptografiyi kullanır ve iOS, Android, macOS ve Windows'a entegre edilmiştir. Kullandığınız bir site passkey'leri destekliyorsa bir tane etkinleştirmek o hesabı kimlik avına karşı dayanıklı hale getirir.

Parola yöneticileri

Parola yöneticisi, kimlik bilgilerini yalnızca kaydedildikleri tam alan adında otomatik olarak doldurduğu için ikinci savunma hattınızdır. paypal.com yerine paypaI.com adresine (büyük I harfiyle) ulaşırsanız yöneticiniz formu sessizce doldurmayı reddeder. Bu ret, bir şeylerin yanlış gittiğinin güçlü bir uyarısıdır.

E-posta ve DNS filtreleme

E-posta sağlayıcıları, sahte gönderici adreslerini tespit etmek için DMARC, SPF ve DKIM kullanır. Modern sağlayıcıların çoğu açık girişimleri yakalar; ancak hedefli saldırılar hâlâ geçebilmektedir. Filtrelerin iyileşmesine katkıda bulunmak için posta istemcinizdeki "kimlik avını bildir" düğmelerini etkinleştirin.

Dikkat edilmesi gereken uyarı işaretleri

Oturum açmanızı, doğrulamanızı veya acilen harekete geçmenizi isteyen bir ileti aldığınızda:

  • Aciliyet ve tehditler — "Hesabınız 24 saat içinde kapatılacak"
  • Genel selamlamalar — adınız yerine "Sayın müşterimiz"
  • Benzer görünümlü alan adlarıpaypaI.com, app1e.com, secure-microsoft-login.net
  • Beklenmedik ekler — özellikle görüntülemek için oturum açmanızı isteyen .zip, .html veya .pdf dosyaları
  • Dilbilgisi veya biçimlendirme hataları — büyük şirketler e-postalarını denetler
  • Bağlantı uyuşmazlığı — bağlantının üzerine gelin ve hedefin metinle eşleşip eşleşmediğini kontrol edin

Bir şey sizi rahatsız ediyorsa e-postayı kapatın. Siteye manuel olarak gidin. Gerçek bir sorun varsa normal iş akışınızla giriş yaptığınızda bunu göreceksiniz.

Kandırıldıysanız ne yapmalısınız?

Hızlı hareket edin — saldırganlar kimlik bilgilerini dakikalar içinde kullanmaya başladığından hız önemlidir.

  1. Parolayı hemen değiştirin — farklı bir cihazdan (örneğin dizüstü bilgisayarınızda kandırıldıysanız telefonunuzdan)
  2. Tüm etkin oturumları iptal edin — hesap ayarlarından; bu, çalınan oturum belirteçlerini kullanan herkesi atar
  3. 2FA'yı etkinleştirin — henüz aktif değilse; mümkünse donanım anahtarı veya passkey kullanın
  4. Yetkisiz etkinliği kontrol edin — gönderilen e-postalar, son girişler, fatura değişiklikleri, yeni yönlendirme kuralları
  5. Etkilenen kurumu bilgilendirin — finansal veya iş hesabıysa
  6. Aynı parolayı kullanan diğer hesapları kontrol edin — parolaları yeniden kullanmadığınızdan emin olsanız bile kontrol edin

Sonuç olarak

Kimlik avı, teknolojiyi atlayıp insanları hedef aldığı için varlığını sürdürmektedir. En iyi savunmalar üç katmanı bir araya getirir: parola yöneticileri (yanlış alanlarda otomatik doldurma yapmayı reddeder), kimlik avına dayanıklı 2FA (gerçek alan adına bağlanan donanım anahtarları veya passkey'ler) ve sağlıklı şüphecilik (bir e-posta bağlantısı üzerinden asla giriş yapmamak).

Bu üçünü en önemli hesabınızda — e-postanızda — etkinleştirerek başlayın. Buradan itibaren dijital hayatınızın geri kalanı anlamlı ölçüde güvenli hale gelir.

Kimlik Avından Nasıl Korunursunuz

Hesaplarınızı kimlik avı saldırılarına karşı sertleştirmek için pratik ve sıralı bir kontrol listesi.

  1. Parola yöneticisi kullanın:Güvenilir bir parola yöneticisi (1Password, Bitwarden, Proton Pass) yükleyin ve kimlik bilgilerini otomatik doldurmasına izin verin. Benzer görünümlü alanlarda otomatik doldurmayı reddeder ve size yerleşik bir kimlik avı dedektörü sağlar.
  2. Kimlik avına dayanıklı 2FA'yı etkinleştirin:En önemli hesaplarınıza — önce e-posta, ardından bankacılık, bulut depolama ve parola yöneticisi — bir FIDO2 donanım anahtarı (YubiKey, Google Titan) veya parola anahtarı (passkey) ekleyin. Bunlar, modern kimlik avını gerçekten durduran tek 2FA yöntemleridir.
  3. E-posta bağlantılarından asla giriş yapmayın:Oturum açmanızı isteyen bir e-posta aldığınızda e-postayı kapatın ve siteye bir yer imi aracılığıyla ya da URL'yi yazarak manuel olarak gidin. E-postadaki bağlantı mükemmel bir klon olabilir; tarayıcınızdaki yer imi değildir.
  4. Yazmadan önce tam alan adını kontrol edin:Herhangi bir parola girmeden önce adres çubuğundaki tam URL'ye bakın. HTTPS'yi, doğru yazımı ve paypal.com.secure-login.net gibi ekstra alt alan adları olmadığını kontrol edin.
  5. Bildirin ve devam edin:Kimlik avı girişimini e-posta sağlayıcınıza bildirin (çoğunda "Kimlik avını bildir" düğmesi bulunur). Ardından günlük hayatınıza devam edin — kimlik avı yalnızca kandırılırsanız tehlikelidir ve farkındalık savaşın büyük bölümüdür.

Sıkça Sorulan Sorular

İlgili Makaleler

2FA Nedir?

Çevrimiçi Gizlilik Kontrol Listesi

Şifrelenmiş E-posta Nedir?