Kimlik Avı (Phishing) Nedir? 7 Belirti + 2026 Korunma Rehberi

Kimlik avı (Phishing) — Türkçede "oltalama" olarak da bilinen bu saldırı, IBM'in 2025 raporuna göre veri ihlallerinin bir numaralı sebebi. Şirketler güvenlik duvarlarına ve antivirüs yazılımlarına milyarlarca dolar harcıyor. Ne var ki sistemlerindeki en tehlikeli açık her gün e-posta kutunuza sızıyor: özenle hazırlanmış tek bir mesaj, saldırgana kapıyı açmanız için sizi ikna ediyor.

Bu saldırıların nasıl işlediğini açıklayacağım, 8 farklı türünü (2026'nın yeni türleri dahil) inceleyeceğim ve onları saniyeler içinde nasıl tespit edeceğinizi size öğreteceğim. Ayrıca Türkiye'nin neden bu saldırılar için verimli bir saha haline geldiğinden ve yanlışlıkla şüpheli bir bağlantıya tıkladığınızda tam olarak ne yapmanız gerektiğinden bahsedeceğiz.

Kimlik avı nasıl çalışır? Mesajın saldırgandan size uzanan yolculuğu

Kimlik avı beş aşamada işler: saldırgan bir hedef seçer, sosyal medyadan bilgilerini toplar, güvenilir bir kurumu taklit eden ikna edici bir mesaj hazırlar, bunu büyük kitlelere veya belirli bir kişiye gönderir ve son olarak verilerinizi çalmak ya da zararlı yazılım yüklemek için tepkinizden yararlanır. Tüm bunlar dakikalar içinde gerçekleşir.

Dolandırıcılar karmaşık sistemleri hacklemiyor. Gerçek hedef sizsiniz. Daha doğrusu, şaşkın veya aceleci olduğunuz ya da saf bir güven duyduğunuz an. "Hesabınız iki saat içinde kapatılacak" diyen bir mesaj, beyninizdeki korku bölgesini harekete geçirir ve düşünmeden linke tıklamanızı sağlar.

Bu mesajların tehlikesinin bir kısmı, yapay zekanın sizi koruyan son engeli ortadan kaldırmasından kaynaklanıyor: dil hataları. 2025'te yapay zeka tarafından üretilen mesajlar kusursuz bir dilde yalnızca 5 dakikada yazılabiliyor; oysa GPT ortaya çıkmadan önce bu iş 16 saat sürüyordu. Bu yetenek, hızla evrim geçiren yapay zeka destekli siber saldırılar ile doğrudan bağlantılıdır.

2026'da karşılaşacağınız 8 kimlik avı türü nedir?

Sekiz ana tür vardır: e-posta üzerinden kimlik avı (en yaygın olanı), hedefli kimlik avı, balina avcılığı (üst düzey yöneticilere yönelik), sesli kimlik avı, SMS üzerinden kimlik avı, QR kimlik avı, klon kimlik avı ve en yenisi olan tarayıcı içinde tarayıcı saldırısı. Her tür farklı bir kanal kullanır ama hedef aynıdır: sizi kandırmak.

1. E-posta Kimlik Avı (Email Phishing)

En yaygın türdür. Milyonlarca e-posta rastgele gönderilir ve Microsoft, Google veya yerel bir banka kılığına girer. İçeriği oldukça geneldir: "şüpheli giriş", "zorunlu bilgi güncellemesi", "fatura eklidir". Başarılı olmasının sebebi istatistiksel yasanın saldırganın lehine işlemesi: milyonlarca mesaj içinden sadece 100 kişinin tıklaması bile kazanç için yeterli.

2. Hedefli Kimlik Avı (Spear Phishing)

Size özel tasarlanmış tek bir mesaj. Saldırgan LinkedIn hesabınızı inceler, yöneticinizin adını, son projelerinizi, hatta yazı üslubunuzu bile öğrenir. Mesaj bir iş arkadaşınızdan veya gerçek bir iş ortağınızdan gelmiş gibi görünür. Bu tür en tehlikelisidir çünkü başarı oranı genel kimlik avındaki %3'e karşılık %40'a kadar çıkar.

3. Balina Avcılığı (Whaling)

Yalnızca üst düzey yöneticileri hedef alan özel bir hedefli kimlik avı türüdür. Saldırgan bir avukat veya devlet düzenleyicisi kimliğine bürünür ve acil bir para transferi talep eder. 2013-2015 yıllarındaki 122 milyon dolarlık Google ve Facebook dolandırıcılığı klasik bir örnekti: Litvanyalı bir dolandırıcı gerçek bir tedarikçinin kimliğine büründü ve iki şirkete sahte faturalar gönderdi; iki yıldan uzun süre fark edilmediler.

4. Sesli Kimlik Avı (Vishing)

"Banka çalışanı" veya "Vergi Dairesi"nden gelen bir telefon araması. 2025'te bu tür tehlikeli bir seviyeye sıçradı: saldırgan, yöneticinizin sesini kamuya açık sesli içeriklerden (röportaj, podcast, hatta sızdırılmış sesli mesajlar) yalnızca üç saniyelik bir örnekle klonlamak için yapay zeka kullanıyor. Sesli kimlik avı kayıpları 2025'te tek başına küresel çapta 40 milyar dolara ulaştı.

5. SMS Kimlik Avı (Smishing)

Telefonunuza kısa bir SMS düşer: "MNG Kargo'dan paketiniz var, 19 TL ek ödeme yapın" veya "e-Devlet hesabınız askıya alındı, buraya tıklayın". SMS'ler kullanıcılar tarafından e-postadan daha güvenilir bulunur ve vakaların %98'inde bir dakika içinde okunur. Bankacılık uygulamalarının ve kargo takibinin telefona taşınmasıyla birlikte, Türkiye'de smishing 2025'te en hızlı büyüyen kimlik avı türü oldu.

6. QR Kodu Kimlik Avı (Quishing)

Yalnızca 2023 yılında %500 patlama yapan ve o günden bu yana büyümeye devam eden türdür. Saldırgan sahte bir QR etiketi basar ve bunu restoranda, otoparkta veya EFT ödeme makinesinde orijinalinin üzerine yapıştırır. Telefonunuzun kamerası açmadan önce tam bağlantıyı göstermediği için tereddüt etmeden taratırsınız. Pandemi sonrası Türkiye'de QR'lı menülerin ve HES kodu uygulamalarının yaygınlaşması, bu türü dolandırıcılar için oldukça kârlı hale getirdi.

7. Klon Kimlik Avı (Clone Phishing)

Daha önce aldığınız gerçek bir mesajın -örneğin bir elektrik faturası veya Amazon sipariş onayı- neredeyse aynısını kullanır, ama bağlantı sahtedir. Hafızanız "Bu mesajı daha önce görmüştüm" der ve otomatik olarak güvenirsiniz.

8. Tarayıcı İçinde Tarayıcı Saldırısı (Browser-in-the-Browser)

2026'nın en yeni kimlik avı türü. Dolandırıcı kendi sitesinin içinde gerçek "Google ile giriş yap" penceresine benzeyen sahte bir giriş penceresi oluşturur. Adres çubuğu, simge, yazı tipi, her şey aynıdır. Tek fark: bu gerçek bir tarayıcı penceresi değil, çizilmiş bir HTML parçasıdır. İki faktörlü kimlik doğrulama (2FA) burada sizi korumaz çünkü OTP kodunu zaten siz sahte siteye teslim edersiniz.

Bir kimlik avı mesajını saniyeler içinde nasıl tespit edersiniz?

Kimlik avını anında açığa çıkaran yedi belirti vardır: şüpheli veya taklit gönderici adresi, adınızın yerine genel bir hitap, yapay zaman baskısı, kısaltılmış veya yanıltıcı bağlantılar, hassas veri talebi, tehlikeli uzantılı ekler ve birebir olmayan neredeyse aynı bir tasarım. Bu yedi belirtiyi aklınızda tutmanız kimlik avı saldırılarının %95'ini anında devre dışı bırakır.

1. Gönderici adresi gerçek kurumla tam olarak eşleşmiyor

İmleci gönderici adının üzerinde bekletin. [email protected] (O harfi yerine sıfır) veya @amazon.com yerine [email protected] görüyorsanız, bu açık bir işarettir. Büyük şirketler asla .xyz veya .top gibi alan adları kullanmaz.

2. Tam adınızın yerine genel bir hitap

"Sayın Müşterimiz" veya "Değerli Kullanıcı" ifadeleri, mesajın milyonlarca kişiye gönderildiğini gösterir. Gerçek bankanız tam adınızı ve hesap numaranızı bilir ve her resmi mesajında bunları kullanır.

3. Yapay aciliyet ve zaman tehdidi

"Hesabınız 2 saat içinde kapatılacak", "Verileriniz kalıcı olarak silinecek", "Askıya almadan önceki son uyarı". Ciddi şirketler size günlerce süre tanır ve herhangi bir işlem öncesinde birkaç kez hatırlatma gönderir.

4. Kısaltılmış bağlantılar veya tuhaf alan adları

bit.ly/abc123 veya tinyurl.com/xyz gibi bağlantılar hemen şüphe uyandırmalıdır. Tıklamadan önce imleci bağlantının üzerinde bekleterek tam adresi kontrol edin. Mesaj "Ziraat Bankası"ndan geliyorsa ama bağlantı ziraat-dogrula.ru veya ziraat.tr-guvenlik.top adresine gidiyorsa, bir tuzakla karşı karşıyasınız demektir.

5. E-posta üzerinden hassas bilgi talebi

6. Tehlikeli uzantılı ekler

.exe, .scr, .iso, .vbs, .bat, .js uzantılı dosyaları mesaj ne kadar ikna edici görünse de asla açmayın. Parola korumalı ZIP dosyaları bile şüpheli bir işarettir çünkü antivirüs taramasını atlatır.

7. Orijinaline çok yakın ama tam olarak aynı olmayan tasarım

Logo farklı bir çözünürlükte olabilir, renkler yakın olabilir ama birebir değildir, metin biçimlendirmesi profesyonel görünmez. Mesajı, kutunuzda aynı kurumdan gelen son gerçek mesajla karşılaştırın; küçük farklılıklar göreceksiniz.

Kimlik avı Türkiye'de neden bu kadar yaygın?

Kimlik avı Türkiye'yi beş nedenle yoğun şekilde hedef alıyor: dijital bankacılığın hızlı büyümesi, WhatsApp'ın güvenilir kanal olarak yaygınlaşması, yapay zekanın kusursuz Türkçe üretebilmesi, kargo ve e-ticaret hacminin sürekli artması ve siber farkındalığın hâlâ sınırlı kalması. Sonuç çarpıcı: 2024'te 108 milyon vatandaşın kimlik bilgileri sızdırıldı ve USOM'a binlerce şüpheli bağlantı bildirildi.

Türkiye'deki rakamlar dikkat çekici. BTK ve USOM raporlarına göre sahte kargo bildirimi SMS'leri 2025'te 2 kattan fazla arttı; "MNG", "Aras" veya "Yurtiçi" adına gelen mesajlar günlük hayatın parçası haline geldi. Gartner'ın tahminlerine göre Türkçe konuşan kullanıcıların %70'i yıl içinde en az bir kimlik avı girişimiyle karşılaşıyor; Avrupa ortalamasının üzerinde bir oran.

Kaspersky Türkiye 2025 raporlarına göre sahte e-ticaret siteleri finansal kimlik avının en büyük payını oluşturuyor (vakaların %80'inden fazlası); bunu bankalar ve dijital ödeme sistemleri (Papara, Ininal, Garanti BBVA) izliyor. Kara Cuma, Ramazan ve yılbaşı kampanyaları dolandırıcıların en yoğun dönemleri.

Pek konuşulmayan bir nokta daha var: yapay zeka, Türk kullanıcıyı koruyan son dil bariyerini yıktı. 2023'ten önce yurt dışı kaynaklı mesajlar bol yazım hatalıydı ve kullanıcı bunları kolayca fark ediyordu. Bugün ChatGPT ve benzerleri saniyeler içinde kusursuz Türkçe yazıyor. Bu dönüşüm WhatsApp'ın neden Türkiye'nin en büyük kimlik avı kanalı haline geldiğini açıklıyor; Turkcell, e-Devlet veya Ziraat Bankası adına gelen ikna edici mesajlar her gün milyonlarca kişiye ulaşıyor. K. Kıbrıs'ta ise KKTCELL ve yerel banka markaları aynı yöntemle taklit ediliyor.

Kendinizi nasıl korursunuz? 5 pratik adım

Etkili korunma için bu adımları sırasıyla uygulayın: tüm önemli hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin, bir şifre yöneticisi kullanın, güçlü bir antivirüs kurun, tıklamadan önce her bağlantıdan şüphelenin ve sistemlerinizi haftalık olarak güncelleyin. Bu beş adım otomatik saldırıların %99'unu durdurur.

1. Adım — İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin ama doğrusunu seçin

SMS üzerinden 2FA genel sanılandan daha zayıftır; SIM swap saldırılarıyla kırılabilir. Daha iyi seçenekler:

• Authenticator uygulaması (Google Authenticator veya Authy gibi) — iyi bir koruma
• Fiziksel güvenlik anahtarı (FIDO2 standardındaki YubiKey gibi) — en güçlüsü, mühendislik açısından kimlik avına karşı dirençli

YubiKey anahtarları yaklaşık 50 dolardır ancak yalnızca orijinal alan adıyla eşleştikleri için tarayıcı içinde tarayıcı saldırılarından bile sizi korur.

2. Adım — Bir şifre yöneticisi kullanın

Her site için farklı ve güçlü bir parola temel bir kuraldır. İnsanlar 50 adet karmaşık şifreyi ezberleyemez; bu yüzden aynı şifreyi tekrar kullanırlar. Tek bir sitenin hacklenmesi tüm hesaplarınızın çalınması demektir. Çözüm: Bitwarden (ücretsiz, açık kaynak) veya 1Password (~3 $/ay) gibi bir şifre yöneticisi.

3. Adım — Web koruması olan bir antivirüs

Windows Defender'ın ücretsiz antivirüsü iyidir ama yeni kimlik avı sitelerini hızlı tespit edemez. Buna Bitdefender TrafficLight (tarayıcı eklentisi olarak ücretsiz) ekleyin ya da Malwarebytes Premium aboneliği edinin. Bu araçlar, sahte sayfa yüklenmeden önce tam bağlantıya tıkladığınız anda sizi korur.

4. Adım — "Önce şüphelen"i bir alışkanlığa dönüştürün

Herhangi bir bağlantıya tıklamadan önce kendinize sorun: Bu mesajı bekliyor muydum? Gönderen benimle genellikle bu şekilde iletişim kurar mı? Talep mantıklı mı? Her tıklamadan önce 10 saniye durun. Kimlik avı saldırıları aceleciliğe dayanır; bu aceleyi kırmak saldırıların %80'ini yok eder.

Doğrudan iletişim kuralı yukarıdakilerin hepsini özetler: Banka veya bir şirketten gelen bir mesajdan şüpheleniyorsanız mesajdaki hiçbir numarayı veya bağlantıyı kullanmayın. Bunun yerine resmi siteye elle girin veya kartınızın arkasında yazılı olan müşteri hizmetleri hattını arayın. Yalnızca bu kural bile meşhur 2020 Twitter hackini önleyebilirdi.

5. Adım — Her şeyi haftalık güncelleyin

Eski güvenlik açıkları dolandırıcının en iyi dostudur. İşletim sisteminizi, tarayıcınızı ve uygulamalarınızı haftada bir güncelleyin. Mümkünse otomatik güncellemeyi açın. Telefonunuzda 6 ay önce keşfedilmiş ve yamalanmamış bir açık, hırsıza kapıyı açık bırakmakla eştir.

Kimlik avı bağlantısına yanlışlıkla tıkladıysanız ne yapmalısınız?

Şüpheli bir bağlantıya tıkladıysanız paniğe kapılmayın, ama hızlı hareket edin. Cihazınızın internet bağlantısını derhal kesin, hiçbir bilgi girmeyin, başka güvenli bir cihazdan şifrelerinizi değiştirin, iki faktörlü kimlik doğrulamayı etkinleştirin, cihazınızı bir güvenlik programıyla tarayın ve ardından yetkili mercilere bildirin. Bu adımları 15 dakika içinde atmak paranızı ve verilerinizi kurtarabilir.

Acil adımlardan sonra cihazı tarayın. Tam bir tarama için Malwarebytes veya Bitdefender kullanın. Sonraki günlerde e-postanızı izleyin; talep etmediğiniz herhangi bir "şifre değişikliği" uyarısı dolandırıcının hâlâ aktif olduğu anlamına gelir. Son olarak yetkili mercilere bildirin:

• Türkiye: USOM — Ulusal Siber Olaylara Müdahale Merkezi — usom.gov.tr/ihbar
• K. Kıbrıs: Bilişim Suçları Polis Birimi — polis.gov.ct.tr
• Bankacılık dolandırıcılığı: BDDK — bddk.org.tr veya bankanızın 7/24 dolandırıcılık hattı
• E-ticaret/kişisel veri: KVKK — kvkk.gov.tr
• Küresel: Uluslararası siteler için [email protected]

Bildirim sadece sizin için değil, aynı mesajı alabilecek binlerce başkasının korunması için de önemlidir. Siber güvenlik temelleri sessiz kalmak yerine çözümün bir parçası olmakla başlar.

Sıkça Sorulan Sorular

Şimdi ne yapmalısınız?

Bir sonraki adım, bilgiyi anında alışkanlığa dönüştürmektir: iki faktörlü kimlik doğrulamayı şimdi etkinleştirin, bir şifre yöneticisi yükleyin ve kendinize "her tıklamadan önce 10 saniye" kuralını koyun. Bu üç alışkanlık, saldırganların yöntemleri yıllar içinde ne kadar gelişirse gelişsin, kimlik avı saldırılarının %95'inden sizi korur.

Kimlik avı "bir gün başıma gelir mi" meselesi değil; "ne zaman geleceği" meselesidir. Rakamlar net: Türkiye'de her aktif internet kullanıcısına ortalama her hafta bir kimlik avı mesajı (SMS, e-posta veya WhatsApp) ulaşıyor. Tuzağa düşen ile kurtulan arasındaki fark zekâ değil, alışkanlıklardır.

Bugün üç şeyle başlayın: e-posta, bankacılık ve sosyal medya hesaplarınızda iki faktörlü kimlik doğrulamayı etkinleştirin. Tarayıcınıza Bitdefender TrafficLight kurun (ücretsiz, bir dakika sürer). Ve en önemlisi: her tıklamadan önce 10 saniye durun. Bu on saniye, huzur ile felaket arasındaki farktır. Kimlik avı saldırılarının düşündüğünüzden çok daha hızlı geliştiği bir dünyada, ölçülü yavaşlığınız sahip olduğunuz en güçlü silahtır.

Kimlik avı, sosyal mühendisliği çok iyi anlıyor. Sizin de onu anlamanız, sizi kolay bir avdan güçlü bir hedefe dönüştürür.