← Blog Home

Güvenli Link Kullanımı: Tıklamadan Önce Alan Adını Nasıl Doğrularsınız?

tr 2026-01-30 05:59:08

Gerçek hayatta en çok düşülen tuzak: Linkin metni doğru görünür, ama tıklayınca açılan alan adı bambaşkadır. Kimlik avı (phishing), sahte ödeme sayfaları ve hesap çalma girişimleri genellikle bu “göz alışkanlığı” üzerinden çalışır.

Bu yazıda hedefimiz basit: Tıklamadan önce alan adını doğrulamak için hızlı, pratik ve tekrar edilebilir bir kontrol sistemi kurmak. Teknik bilginiz çok olmasa bile, birkaç alışkanlıkla riskin büyük kısmını kesebilirsiniz.

Neden alan adı kontrolü bu kadar kritik?

Dolandırıcılar artık sadece “kötü yazılmış” e-postalarla iş yapmıyor. Tasarım şık, logo doğru, hatta bazı sayfalarda canlı sohbet bile var. Sahte siteyi ele veren şey çoğu zaman tek bir detay: alan adı.

Çünkü marka adı, görsel kimlik, sayfa içeriği kolay kopyalanır. Ama alan adı, gerçeği taklit etse de tam aynı olamaz. Bu yüzden güvenli link alışkanlığının merkezinde “URL okuma” vardır.

URL’yi okumayı öğrenin: En temel yapı

Bir URL genelde şu parçalardan oluşur:

  • Protokol: https:// veya http://
  • Alan adı (domain): ör. example.com
  • Alt alan adı (subdomain): ör. login.example.com
  • Yol (path): /account/reset gibi
  • Sorgu (query): ?ref=... gibi parametreler

Güvenlik açısından “en ağır” parça alan adıdır. Path ve query manipüle edilerek güven hissi üretilebilir. Dolayısıyla gözünüzün ilk aradığı şey: Gerçek alan adı tam olarak ne?

En sık yapılan hata: Alt alan adı tuzağı

Dolandırıcıların favori yöntemi, gerçek markayı alt alan adına gömüp asıl alan adını başka bir şey yapmak. Örnek:

  • guvenli-gibi-gorunen: paypal.secure-check.example-login.com
  • gerçek: secure-check.example-login.com

Burada “paypal” sadece bir alt alan adı etiketi. Güvenilirlik sağlamaz. Asıl alan adı, en sağdaki kök + uzantıdır. Pratik kural: Sağdan sola oku. En sağdaki uzantıyı (com, net, org, tr vb.) ve hemen solundaki kökü yakalayın.

Mobilde bu daha da tehlikelidir çünkü tarayıcı bazen URL’nin sadece bir kısmını büyük gösterir. Bu yüzden mobilde “adres çubuğuna dokunup tamamını görmek” bir refleks olmalı.

Harfe benzer karakterler: “Bir harf” saldırıları

Bir diğer klasik yöntem, alan adını çok küçük farklarla taklit etmektir:

  • l (küçük L) yerine I (büyük i) kullanmak
  • o yerine 0 kullanmak
  • rn ile m benzerliği yaratmak (ör. “modern” gibi görünür)
  • Unicode karakterleriyle benzer harf üretmek (IDN homograf saldırıları)

Gözünüz hızlı okurken bunu kaçırabilir. Eğer link “fazla benziyor” ama “tam emin değilsiniz”, tıklamayın. Bunun yerine resmi siteye kendiniz gidin veya uygulama içinden açın.

HTTPS var diye güvenmeyin, ama yoksa da durun

“https://” görmek iyi bir işarettir, çünkü veri aktarımı şifrelenir. Ancak bu, sitenin güvenilir olduğu anlamına gelmez. Bugün herkes ücretsiz SSL sertifikası alabilir; dolandırıcılar da alıyor.

Yine de pratik kural şu:

  • HTTP (şifresiz) ise: özellikle giriş/ödeme sayfasında kesinlikle durun.
  • HTTPS ise: bir “minimum barajı” geçmiş sayılır, ama alan adı kontrolü şarttır.

Kısa linkler (bit.ly vb.) ve yönlendirmeler: Görmeden tıklamayın

Kısa linkler, gerçek hedefi gizler. Sosyal medya paylaşımlarında yaygındır. Güvenlik açısından iki risk doğurur:

  • Hedef alan adını tıklamadan görmezsiniz.
  • Yönlendirme zinciri olabilir: önce masum, sonra şüpheli siteye.

Ne yapmalı?

  1. Masaüstünde linkin üstüne gelin, tarayıcının sol alt köşesinde görünen gerçek URL’ye bakın.
  2. Mobilde linke uzun basıp “önizleme” veya “kopyala” seçeneğini kullanın.
  3. Kopyaladığınız URL’yi notlara yapıştırıp alan adını okuyun.

Bir linki “kör” tıklamak yerine, önce onu “metin” haline getirip okumak, en etkili alışkanlıklardan biridir.

“Ücretsiz hediye / acil uyarı / hesabın kapanacak” dili = kırmızı bayrak

Link güvenliği sadece teknik değil; psikolojiktir. Phishing kampanyaları genellikle sizi acele ettirmek ister:

  • “Hesabınız askıya alınacak, hemen doğrulayın”
  • “Ödemeniz başarısız oldu, yeniden deneyin”
  • “Paketiniz teslim edilemedi, linke tıklayın”
  • “Sadece bugün, ekstra indirim!”

Bu mesajlar sizi hızlandırdığı için alan adı kontrolünü atlatır. O yüzden kendinize bir kural koyun: Acele hissettiğim her linki iki kez kontrol ederim.

Doğrulama adımları: 30 saniyelik hızlı kontrol listesi

Aşağıdaki kontrol listesi, günlük kullanım için tasarlandı. Her adım kısa, ama etkisi büyük:

  1. Alan adını sağdan sola oku: Uzantı + kök alan adını yakala (ör. example.com).
  2. Alt alan adını “kanıt” sayma: brand.example.com iyidir, example.brand.com şüpheli olabilir.
  3. Yazım farkı var mı? Fazladan tire, ekstra kelime, garip ekler, harf benzerlikleri.
  4. HTTPS kontrolü: Özellikle giriş/ödeme sayfasında şart.
  5. Sayfa amacı mantıklı mı? Banka “hediye” vermez, kargo şirketi “şifre” istemez.

Bu 30 saniye, hesabınızı ve kart bilgilerinizi kurtarabilir. Özellikle e-posta içindeki linklerde bu refleks kritik.

Bir adım ileri: Alan adını “bağımsız” doğrulama yöntemleri

Bazen link “çok iyi” hazırlanmıştır. O durumda sadece göz kontrolü yetmeyebilir. Daha sağlam yöntemler:

1) Resmi kaynaktan git

E-postadaki linke tıklamak yerine, tarayıcıda siteyi kendiniz açın. Örneğin bankaysa mobil uygulamaya girin, e-ticaret ise uygulama içi bildirimleri kontrol edin. Linki “kaynağından” doğrulamak, phishing’i boşa düşürür.

2) Alan adını arat

Alan adını Google’da aratmak, bazen “sahte site uyarıları” veya kullanıcı şikayetleriyle karşınıza çıkar. Ancak bu da tek başına kesin kanıt değildir; yeni açılmış dolandırıcılık siteleri henüz raporlanmamış olabilir.

3) WHOIS / kayıt bilgisi kontrolü

Alan adı çok yeni kayıtlıysa veya kayıt bilgileri aşırı gizliyse şüphe artar. Elbette bazı meşru siteler de gizlilik kullanır; ama “marka gibi davranan” bir site dün açılmışsa bu ciddi işarettir.

4) Sertifika ayrıntıları

Tarayıcıdaki kilit simgesine tıklayıp sertifikanın hangi alan adına verildiğine bakabilirsiniz. Bu, özellikle alt alan adı karışıklıklarında yardımcı olur. Yine: Sertifika var diye site meşru olmaz, ama alan adı eşleşmiyorsa kesin problem vardır.

Mobilde güvenli link alışkanlıkları

Mobil cihazlarda alan adı kontrolü zorlaşır; adres çubuğu kısalır, bazı uygulamalar “iç tarayıcı” kullanır. Bu yüzden mobil için ayrı birkaç pratik öneri:

  • Adres çubuğuna bir kez dokunup URL’nin tamamını görüntüleyin.
  • Şüpheli linkleri “uzun bas → kopyala” yapıp notlara yapıştırın, orada inceleyin.
  • Bankacılık ve ödeme işlemlerini mümkünse uygulama içinden başlatın.
  • SMS ile gelen linklerde ekstra dikkatli olun; smishing çok yaygın.

Mobilde amaç, “tıklayıp bakmak” değil, “bakıp tıklamak” olmalı.

E-posta doğrulama linkleri ve geçici e-posta kullanıcıları için notlar

Geçici e-posta kullananlar genellikle hızlı doğrulama linklerine tıklar. Burada iki ek risk oluşur:

  • Doğrulama maili gibi görünen e-postalar, sahte giriş sayfasına yönlendirebilir.
  • “Hesabını aktif et” linki yerine, sizden şifre isteyen bir sayfa açılabilir.

Doğrulama akışında şu kontrolü yapın: Bir platformun doğrulama linki genelde “hesap aktivasyonu” içindir; sizden şifre istemez. Eğer açılan sayfa doğrudan şifre istiyorsa ve alan adı da net değilse, işlemi durdurun ve resmi siteye kendiniz gidin.

Şüpheli linke tıkladıysanız: Hızlı hasar kontrolü

Yanlışlıkla tıkladınız diye panik yapmak yerine, hızlıca şu adımları uygulayın:

  1. Bilgi girdiyseniz (şifre, kart, kimlik): ilgili hesabın şifresini hemen değiştirin.
  2. Mümkünse iki adımlı doğrulamayı (2FA) aktif edin.
  3. Kart bilgisi girdiyseniz bankayı arayıp işlem takibi yapın, gerekirse kartı iptal edin.
  4. Tarayıcı geçmişini değil; asıl olarak hesap güvenliğini kontrol edin: oturumlar, bağlı cihazlar, şüpheli girişler.
  5. Aynı şifreyi kullandığınız diğer yerlerde de değişiklik yapın.

Bu adımlar “zararı büyümeden” kesmek içindir. En iyi savunma tıklamamak, ikinci en iyi savunma hızlı tepki vermektir.

Örnek senaryolar: Gerçek hayatta nasıl karar verilir?

Senaryo 1: Kargo SMS’i geldi

“Paketiniz teslim edilemedi, linkten adresinizi güncelleyin.” Bu tip mesajlarda önce şirketin resmi uygulamasına girin veya takip numarasını resmi sitede aratın. SMS linki sizi aceleye getirir; alan adı kontrolü burada şarttır.

Senaryo 2: Bankadan e-posta geldi

Bankalar çoğunlukla “linke tıkla şifre gir” demez. Mobil uygulamadan bildirimleri kontrol edin. E-postadaki linki tıklamak yerine bankanın resmi sitesini kendiniz açın.

Senaryo 3: “Hesabın askıya alınacak” uyarısı

Bu cümle genellikle phishing’in tetikleyicisidir. Alan adı %100 doğru olsa bile, yine de tarayıcıya kendiniz yazıp giriş yapmanız daha güvenli bir alışkanlıktır.

Sonuç: Güvenli tıklama = alışkanlık işi

Güvenli link kullanımı aslında bir “siber güvenlik uzmanlığı” değil, birkaç küçük refleksin toplamıdır. Alan adını sağdan sola okumak, alt alan adı tuzaklarını bilmek, kısa linkleri önizlemek ve acele duygusuna kapılmamak… Bunları rutine çevirdiğinizde, kimlik avı girişimlerinin büyük kısmını daha sayfa açılmadan elersiniz.

Bugün kendinize tek bir kural seçin: Linke tıklamadan önce alan adını mutlaka okuyacağım. Bu kadar basit bir cümle, yıllarca biriken dijital riskleri ciddi ölçüde azaltır.

Sık Sorulan Sorular

Alan adı ile URL aynı şey mi?

URL, adresin tamamıdır; alan adı ise URL’nin “siteyi” tanımlayan çekirdek kısmıdır. Güvenlik kontrolünde odak noktası alan adıdır, çünkü sahte siteler genellikle alan adında yakalanır.

HTTPS varsa link güvenli midir?

Hayır. HTTPS yalnızca bağlantının şifreli olduğunu gösterir. Sahte site de HTTPS kullanabilir. HTTPS, bir koşul olabilir ama yeterli değildir.

Mobilde alan adını görmek zor, ne yapmalıyım?

Adres çubuğuna dokunup URL’nin tamamını görüntüleyin. Şüpheli linklerde “kopyala-yapıştır” yöntemiyle notlarda incelemek çok işe yarar.

Şüpheli linki raporlamak işe yarar mı?

Evet, özellikle e-posta sağlayıcınıza “phishing” olarak bildirmek ve ilgili platforma şikayet göndermek, diğer kullanıcıların da korunmasına yardımcı olur. Ayrıca kurumsal hesap kullanıyorsanız IT ekibine iletmek önemlidir.

Tip: Temporary inboxes are best for low-risk sign-ups and verification. Avoid sensitive accounts that require long-term recovery access.