← Blog Home

Doğrulama E-postaları İçin Phishing Kontrol Listesi: Tek Tıkla Kandırılmamak İçin

tr 2026-01-29 04:53:35

Doğrulama E-postaları İçin Phishing Kontrol Listesi

Gerçekçi hedef: “Hiç phishing’e düşmemek” değil; riskli e-postayı hızlıca ayıklayıp güvenli doğrulama alışkanlığı kazanmak. Doğrulama (verification) e-postaları saldırganların en sevdiği kılıftır, çünkü çoğumuz bu mesajları beklerken daha az şüpheci oluruz.

Neden doğrulama e-postaları en çok taklit edilir?

Bir hesap açtığınızda, şifre sıfırladığınızda veya yeni bir cihazdan giriş yaptığınızda “doğrulama e-postası” almak normaldir. Bu normal beklenti, saldırganların işini kolaylaştırır. Phishing e-postalarının amacı çoğunlukla şunlardır:

  • Kimlik bilgisi çalmak: Sizi sahte giriş sayfasına yönlendirip şifre/OTP almak.
  • Oturum ele geçirmek: “Cihaz doğrulama” bahanesiyle sahte onay akışı kurmak.
  • Kötücül yazılım bulaştırmak: “Fatura/ek dosya” gibi eklerle zararlı dosya indirtmek.
  • Ödeme veya veri toplamak: “Hesabınız askıya alınacak” diyerek panik üzerinden bilgi istemek.

İyi haber: Doğrulama e-postası kılığındaki sahtekârlıklar, çoğu zaman birkaç basit işaretle yakalanır. Aşağıdaki kontrol listesi, hızlı ama etkili bir filtre gibi çalışır.

Hızlı kontrol listesi (30 saniyelik tarama)

Bu bölüm “hemen karar vermek” için. Bir doğrulama e-postasını açtığınızda (veya önizleme yaptığınızda) şunları hızlıca kontrol edin:

  1. Bekliyor muydum? Az önce kayıt/şifre sıfırlama yaptınız mı? Yapmadıysanız risk artar.
  2. Gönderen adresi tutarlı mı? Görünen isim değil, gerçek e-posta adresi ve alan adı önemlidir.
  3. Aciliyet/tehdit dili var mı? “Hemen onayla yoksa kapanır” gibi baskı cümleleri şüpheli.
  4. Bağlantının gittiği adres ne? Linkin üzerine gelin, alan adı mantıklı mı?
  5. Ek dosya var mı? Doğrulama e-postalarında ek çoğu zaman gereksizdir. Varsa iki kere düşünün.

Bu beş madde bile çoğu phishing’i eler. Şimdi daha derin ama pratik kontrolleri adım adım inceleyelim.

1) “Beklediğiniz e-posta” mı? Bağlam kontrolü

En güçlü sinyal genelde en basit olanıdır: Bu e-postayı gerçekten bekliyor muydunuz? Kayıt olmadığınız bir hizmetten “E-posta adresinizi doğrulayın” mesajı geliyorsa üç ihtimal vardır:

  • Birisi sizin e-posta adresinizle hesap açmaya çalışıyordur (yanlışlıkla veya kötü niyetle).
  • Saldırgan, sizi linke tıklatmak için “normal bir işlem varmış” algısı yaratıyordur.
  • Hizmetin kendisi spam’e kaçan agresif pazarlama yapıyordur (yine de linke dikkat).

Bu durumda en güvenli yaklaşım: E-postadaki linke tıklamak yerine, hizmetin resmî sitesine kendiniz gidip (tarayıcıya yazarak veya yer iminden) kontrol etmek.

2) Gönderen adı değil, alan adı konuşur

Phishing e-postaları “Apple Support”, “Google Security”, “Bankanız” gibi güven veren görünen isimlerle gelir. Bu isimlerin yazılması kolaydır; asıl mesele gönderen adresinin alan adıdır.

Kontrol edeceğiniz işaretler

  • Alan adı taklidi: örneğin support-apple.example gibi, markayı içerse bile resmî değildir.
  • Harf oyunu: “rn” ile “m” benzerliği, “0” ile “o” değişimi, ekstra tire/nokta kullanımı.
  • Alt alan adı tuzağı: apple.security-check.example.com gibi; burada gerçek alan adı example.com.
  • Şüpheli uzantı: Normalde kurumsal iletişimde beklemediğiniz uzantılar (tek başına kanıt değildir ama sinyal verir).

Not: Bazı hizmetler üçüncü parti e-posta servisleri kullanabilir. Bu yüzden “tam eşleşmiyor” diye hemen kesin hüküm vermek yerine, bir sonraki adım olan link kontrolüne geçin.

3) Konu satırı ve dil: “Acele ettirme” ve “ceza” kalıpları

Doğrulama e-postaları genelde net ve sakin olur: “E-posta adresinizi doğrulayın”, “Giriş kodunuz”, “Şifre sıfırlama isteği”. Phishing ise duyguyu hedefler: korku, panik, acele.

  • Tehdit içeriği: “Hesabınız 10 dakika içinde kapanacak”
  • Aşırı aciliyet: “Hemen doğrulayın, aksi halde erişiminiz kesilecek”
  • Garip Türkçe/ton: Tuhaf çeviri, gereksiz büyük harf, alakasız emojiler
  • Çelişki: E-posta “güvenlik” der ama sizden şifre/kimlik bilgisi ister

Kurumsal güvenlik mesajları bile genelde “bilgilendirici” tondadır. Baskı dili arttıkça şüphe eşiğini yükseltin.

4) Link kontrolü: Tıklamadan önce adresi gör

Doğrulama e-postalarının kritik kısmı linktir. Güvenli kullanım için temel alışkanlık: Tıklamadan önce bağlantının nereye gittiğini kontrol etmek.

Pratik yöntemler

  • Masaüstü: Linkin üzerine gelin, tarayıcı/uygulama alt kısımda hedef URL’yi gösterir.
  • Mobil: Linke uzun basın; “önizleme” veya “kopyala” seçenekleriyle adresi görün.
  • Kısa linkler: bit.ly benzeri kısaltmalar riskli olabilir; hedefi görmeden işlem yapmayın.

Linkte arayacağınız risk işaretleri

  • Alan adı uyuşmuyor: E-posta bir markadan geliyor gibi görünüyor ama link başka bir domaine gidiyor.
  • HTTP/HTTPS: HTTPS tek başına güven demek değildir, ama HTTP ise ekstra şüphelidir.
  • Çok uzun, karmaşık parametre: Tek başına kanıt değil; fakat “saklama” amacı varsa dikkat.
  • IP adresiyle link: Alan adı yerine doğrudan IP kullanımı normalde doğrulama için gerekmez.

En güvenlisi: Linke tıklamak yerine, hizmetin resmî sitesini kendiniz açıp “E-posta doğrulama” ya da “Güvenlik” bölümünden ilerlemek.

5) Kod mu link mi? Doğrulamanın güvenli akışı

Birçok hizmet doğrulama için ya tek kullanımlık kod gönderir ya da onay linki verir. Güvenlik açısından kod akışı genelde daha kontrol edilebilir olabilir, çünkü:

  • Link sizi nereye götürür bilemezsiniz; kodu ise genelde resmî uygulama/website üzerinde girersiniz.
  • Phishing sayfası linkle başlar; kod akışı “kendi açtığınız sayfada” ilerler.

Bu yüzden e-postada kod varsa, kodu kopyalayın ve hizmetin sayfasını kendiniz açıp oraya girin. E-postadaki linke tıklamak zorunda değilsiniz.

6) Ek dosyalar ve “indir” tuzakları

Doğrulama e-postaları çoğu zaman ek dosya gerektirmez. Eğer “Doğrulama belgesi”, “Güvenlik raporu”, “Fatura” gibi bir ek görüyorsanız, özellikle şunlara dikkat edin:

  • Beklenmedik ek: Az önce alışveriş yapmadıysanız “fatura” şüphelidir.
  • Dosya türü: Çalıştırılabilir dosyalar veya makro içerebilecek belgeler ekstra risk taşır.
  • Şifreli arşiv: “Güvenlik için şifreli” denip şifre aynı e-postada veriliyorsa klasik taktiktir.

Güvenli yaklaşım: Ek indirmek yerine hizmetin hesabınıza giriş yapıp (kendi yazdığınız adres üzerinden) ilgili belge var mı kontrol etmek.

7) “Hesap güvenliği” bahanesiyle bilgi isteme

Gerçek doğrulama e-postası sizden genellikle şunları istemez: şifrenizi e-postayla yazmanız, kimlik belgesi yüklemeniz, kredi kartı bilgisi girmeniz. Phishing ise tam tersine, doğrulama kisvesi altında “bilgi toplar”.

Şu kalıplar varsa durun:

  • “Hesabınızı doğrulamak için giriş yapın” ama sayfa sizden fazla bilgi istiyor.
  • “Güvenlik nedeniyle ödeme yöntemi ekleyin” gibi alakasız istekler.
  • “Kimliğinizi doğrulayın” adı altında olağan dışı belgeler.

Güvenli doğrulama akışları basittir: kod girersiniz, onay verirsiniz, biter. Süreç uzayıp dallanıyorsa şüphelenin.

8) Teknik ipuçları: Başlıklar, SPF/DKIM/DMARC ve gerçek hayat

İleri seviye kullanıcılar e-posta başlıklarını (headers) inceleyerek daha fazla sinyal elde edebilir. SPF/DKIM/DMARC doğrulamaları, gönderenin alan adına göre mesajın doğrulanıp doğrulanmadığını gösterebilir.

Ancak pratikte iki önemli nokta var:

  • Bu kontroller her zaman kullanıcıya “tek satırda” net görünmez.
  • Doğrulama geçse bile saldırganlar bazen farklı taktiklerle kandırabilir (ör. güvenilir görünen ama sahte sayfa linki).

Bu yüzden teknik doğrulamalar yararlıdır ama tek başına yeterli değildir. En güçlü savunma hâlâ “linki kontrol et, resmî siteye kendin git” disiplinidir.

9) Güvenli doğrulama alışkanlıkları: Günlük rutin gibi düşün

Kontrol listesi bir defalık değil, alışkanlıktır. Aşağıdaki pratik rutin, doğrulama e-postalarıyla yaşanan riskin çoğunu düşürür:

  1. Beklentiyi doğrula: İşlem başlattın mı? Başlatmadıysan linke dokunma.
  2. Gönderen ve link alan adını kontrol et: Görünen isme değil domaine bak.
  3. Link yerine kodu tercih et: Mümkünse kodu, kendi açtığın sayfada gir.
  4. Şüphede kalırsan yeni oturum aç: Tarayıcıda yeni sekme açıp siteye kendin git.
  5. Hız tuzağına düşme: “Acele et” dili = kırmızı bayrak.

Bu yaklaşım “paranoya” değildir; dijital hijyendir. Nasıl kapıyı kilitlemek abartı değilse, linki kontrol etmek de abartı değildir.

10) Gerçek senaryolar: En sık düşülen üç tuzak

Tuzak 1: Sahte cihaz doğrulama

“Yeni cihazdan giriş yapıldı, hemen doğrulayın” mesajı gelir. Siz de gerçekten yeni cihaz aldıysanız, refleksle tıklarsınız. Link sizi sahte giriş sayfasına götürür. Burada en iyi savunma: e-postayı kapatıp hizmete kendiniz giderek “güvenlik etkinliği” bölümüne bakmak.

Tuzak 2: Şifre sıfırlama panikleri

“Şifrenizi sıfırlayın” mesajı beklemediğiniz anda gelir. Panikleyip tıklamak yerine, hiçbir şey yapmadan önce hesabınızda olağan dışı bir etkinlik var mı kontrol edin. Eğer sıfırlama istemediyseniz, linke tıklamadan hesap güvenliğini güçlendirin.

Tuzak 3: Kupon/abonelik doğrulaması

“Kuponu aktifleştirmek için e-postanı doğrula” mesajları çok taklit edilir. Burada hedef genelde ödeme bilgisi toplamak veya sizi aboneliğe sokmaktır. Doğrulama adımı, asıl tuzağa giriş kapısıdır.

Sık Sorulan Sorular

Doğrulama e-postası güvenli değil mi?

Doğrulama e-postaları çoğu zaman güvenli akışın parçasıdır, fakat saldırganlar bu formatı taklit eder. Bu yüzden “doğrulama” kelimesi tek başına güvenlik garantisi değildir.

Linkte HTTPS varsa sorun yok mu?

HTTPS faydalıdır ama phishing siteleri de HTTPS kullanabilir. Esas kontrol alan adıdır: gerçekten doğru domen mi?

Yanlışlıkla tıkladım, ne yapmalıyım?

Hemen panik yerine adım adım ilerleyin: Eğer giriş bilgisi girdiyseniz şifrenizi değiştirin, mümkünse iki adımlı doğrulamayı etkinleştirin ve hesabınızdaki oturumları gözden geçirin. Şüpheli cihaz/oturum varsa kapatın.

Sonuç: En iyi savunma “sakin doğrulama”

Phishing saldırıları teknoloji kadar psikolojiyle de ilgilidir. Sizi acele ettirmek, korkutmak veya “bu çok normal” dedirtmek isterler. Bu yazıdaki kontrol listesiyle hedefiniz basit: doğrulama e-postasını otomatik pilotta tıklamak yerine, birkaç saniyelik bilinçli kontrol yapmak. Bu küçük alışkanlık, büyük kayıpları engeller.

Tip: Temporary inboxes are best for low-risk sign-ups and verification. Avoid sensitive accounts that require long-term recovery access.