Phishing Saldırıları: İşletmenizi Oltalama Saldırılarından Nasıl Korursunuz?

Phishing Nedir?

Phishing (oltalama), saldırganların güvenilir bir kurum veya kişi gibi görünerek kurbanlarından hassas bilgiler (şifreler, kredi kartı bilgileri, kişisel veriler) çalmaya çalıştığı bir siber saldırı yöntemidir. 2025 yılında dünya genelinde gerçekleştirilen siber saldırıların %36’sı phishing kaynaklıdır.

Phishing Türleri

1. E-posta Phishing

En yaygın tür. Saldırgan, banka, kargo şirketi veya Microsoft gibi güvenilir kurumları taklit eden e-postalar gönderir. “Hesabınız askıya alındı” veya “Faturanız hazır” gibi acil eylem gerektiren mesajlar içerir.

2. Spear Phishing (Hedefli Oltalama)

Belirli bir kişi veya organizasyonu hedef alan, kişiselleştirilmiş saldırılardır. Saldırgan, hedef hakkında önceden bilgi toplar ve çok daha inandırıcı mesajlar hazırlar.

3. Whaling (Balina Avı)

CEO, CFO gibi üst düzey yöneticileri hedef alan phishing saldırılarıdır. Genellikle sahte fatura onayı veya acil para transferi talepleri içerir.

4. Smishing ve Vishing

SMS (smishing) veya telefon araması (vishing) yoluyla gerçekleştirilen phishing saldırılarıdır.

Phishing E-postasını Nasıl Tanırsınız?

• Gönderen adresi: @microsoft.com yerine @micros0ft-support.com gibi benzer ama farklı domainler
• Aciliyet duygusu: “24 saat içinde hesabınız kapanacak” gibi panik yaratan ifadeler
• Yazım hataları: Profesyonel kurumlardan gelmeyen dilbilgisi ve imla hataları
• Şüpheli linkler: Fare ile üzerine geldiğinizde farklı URL gösteren bağlantılar
• Ek dosyalar: Beklenmedik .exe, .zip veya macro içeren Office dosyaları
• Genel hitap: “Sayın Müşterimiz” yerine adınızla hitap edilmemesi

İşletmenizi Phishing’den Koruma Yöntemleri

Teknik Önlemler

1. E-posta güvenlik protokolleri: SPF, DKIM ve DMARC kayıtlarını yapılandırın
2. Microsoft 365 Defender: Business Premium planıyla gelişmiş tehdit koruması
3. Çok faktörlü doğrulama (MFA): Tüm kullanıcılar için zorunlu kılın
4. E-posta filtreleme: Gelişmiş spam ve phishing filtreleri kullanın

Eğitim ve Farkındalık

1. Düzenli phishing simülasyonları yapın
2. Çalışanları şüpheli e-postaları raporlama konusunda eğitin
3. Güvenlik politikalarını yazılı hale getirin ve paylaşın

Phishing Saldırısına Maruz Kaldıysanız

1. Hemen şifrelerinizi değiştirin
2. BT departmanınızı bilgilendirin
3. İlgili bankayı veya kurumu arayın
4. Etkilenen hesaplarda MFA’yı aktifleştirin
5. Cihazınızı güncel antivirüs ile tarayın

E-posta altyapınızın phishing saldırılarına karşı ne kadar korunaklı olduğunu öğrenmek için ücretsiz domain tarama aracımızı kullanın.

İlgili Rehberler

• SPF kaydı rehberimiz
• DKIM rehberimiz
• DMARC rehberimiz
• Microsoft 365 plan karşılaştırmamız
• güvenlik kontrol listemiz

Faydalı Dış Kaynaklar

• USOM – Ulusal Siber Olaylara Müdahale Merkezi
• Microsoft Anti-Phishing Koruması