← Blog Home

Yeni Başlayanlar İçin E-Posta Güvenliği: Her Gelen Kutusunda Dolandırıcılıktan Kaçınma Rehberi

tr 2026-02-16 05:44:40

Kısa fikir: Dolandırıcılık e-postaları genelde “acele ettirme”, “korkutma” veya “ödül vaat etme” üzerine kurulur. İyi haber: Birkaç basit kontrol alışkanlığıyla çoğu tuzağı daha açmadan yakalayabilirsiniz.

Neden e-posta hâlâ dolandırıcıların favorisi?

E-posta, internetin en eski ama en etkili iletişim kanallarından biri. Bankalar, kargo firmaları, sosyal medya, abonelikler, uygulamalar… Her şey e-posta üzerinden doğrulama yapıyor. Dolandırıcıların hedefi de tam burası: güven zincirinin “en insani” halkası.

Yeni başlayanların en çok zorlandığı nokta teknik detaylar değil; psikolojik baskı. “Hesabın kapatılacak”, “Paketi teslim edemedik”, “Faturan gecikmiş”, “İade hakkın var” gibi mesajlar, hızlı karar vermenizi ister. Çünkü hızlı karar = kontrolsüz tıklama.

Dolandırıcılık türleri: En sık karşılaşılan senaryolar

1) Kimlik avı (Phishing) – “Giriş yap, onayla, kurtar”

Phishing e-postaları sizi sahte bir giriş sayfasına yönlendirir. Oraya yazdığınız kullanıcı adı ve şifre direkt olarak saldırgana gider. Ardından hesabınıza girer, şifre değiştirir, hatta kayıtlı kartlarla işlem yapmaya çalışır.

2) Sahte fatura / ödeme talebi – “Hemen öde, ceza var”

Özellikle iş e-postalarında görülür. “Ödeme bilgileri güncellendi”, “IBAN değişti”, “Acil havale” gibi ifadelerle hareket edilir. Bazen gerçek bir şirketin logosu bile kullanılır.

3) Kargo / teslimat tuzakları – “Paketin beklemede”

SMS kadar e-postada da yaygın. “Teslimat için adres doğrula” veya “Gümrük ücreti öde” gibi linkler içerir. Link sizi sahte ödeme sayfasına götürür.

4) Ek dosya saldırıları – “PDF gibi görünüyor ama değil”

Ekli dosya açtığınız anda zararlı yazılım tetiklenebilir. Özellikle makro içeren Office dosyaları veya uzantısı gizlenmiş yürütülebilir dosyalar risklidir.

5) Hesap ele geçirme sonrası “zincir dolandırıcılık”

Bir hesap ele geçirildiğinde saldırgan, o kişinin rehberine veya eski yazışmalarına göre “daha inandırıcı” mesajlar atar: “Benim için şunu öder misin?” veya “Bu dosyaya bakar mısın?” gibi.

Bir e-postayı açmadan önce: 20 saniyelik kontrol listesi

  1. Gönderen adresi: Görünen isim değil, gerçek e-posta adresi önemli. Kurumsal gibi duran ama garip uzantılı adresler alarmdır.
  2. Konu ve ton: Aşırı acil, tehditkâr veya “harika fırsat” dili genelde tuzaktır.
  3. Link kontrolü: Tıklamadan önce linkin üzerine gelin (mobilde uzun basın) ve gerçek alan adını okuyun.
  4. Dil hataları: Bazı dolandırıcılıklar kötü Türkçe içerir; ama artık düzgün çeviri kullananlar da var. Tek başına yeterli kriter değildir.
  5. İstenen bilgi: Şifre, OTP kodu, kimlik bilgisi, kart detayı isteniyorsa durun. Meşru kurumlar bunları e-postayla istemez.

Bu kontrol listesi “paranoyaklık” değil; dijital dünyada normal refleks. 20 saniye ayırmak, haftalarca uğraşmaktan iyidir.

Linkleri anlamanın pratik yolu: Alan adı okuma alışkanlığı

Dolandırıcıların en sevdiği numara, güvenilir görünen kelimeleri URL içine serpiştirmek: “kargo-destek”, “banka-guvenlik”, “giris-onay” gibi. Ama belirleyici olan şey şudur: Alan adının ana kısmı.

  • Örnek: guvenlik-banka.com.tr gibi görünse bile gerçek marka alan adı olmayabilir.
  • Alt alan adı kandırmacası: banka.guvenlik-kontrol.example.com adresinde gerçek alan adı example.com’dur.
  • Kısaltılmış linkler: Link kısaltma bazen normaldir ama yeni başlayanlar için risklidir. Mümkünse resmi siteyi kendiniz yazın.

Eğer linke tıklamak zorundaysanız, en güvenlisi “e-postadaki link” yerine, tarayıcıya ilgili kurumun resmi adresini kendiniz yazıp oradan giriş yapmaktır.

Ek dosyalarda dikkat: “Sadece PDF” sandığınız şey farklı olabilir

Ek dosyalar iki sebeple tehlikelidir: Dosya içeriği zararlı olabilir veya sizi zararlı bir siteye yönlendiren bir bağlantı barındırabilir. Yeni başlayanlar için basit bir yaklaşım:

  • Beklemediğiniz bir ek dosyayı açmayın.
  • “Fatura”, “sipariş”, “kargo etiketi” gibi dosyalar özellikle sık kullanılır.
  • Dosya adının sonunda çift uzantı görürseniz şüphelenin (ör. fatura.pdf.exe gibi).
  • Office dosyası açınca “İçeriği Etkinleştir / Makroları Aç” diyorsa, kapatın.

Kurumsal bir iş akışında ek dosya bekliyorsanız bile, göndereni doğrulamadan açmayın. Bir telefon araması veya ayrı bir mesajla teyit etmek çoğu vakayı bitirir.

Dolandırıcıların psikolojik taktikleri: “Hız” ve “duygu” tuzağı

Dolandırıcılık e-postalarının çoğu teknik değil, davranışsal açıkları hedefler. En yaygın taktikler:

  • Aciliyet: “15 dakika içinde onayla”, “Hemen ödeme yap”.
  • Korku: “Hesabın askıya alınacak”, “Yasal işlem başlayacak”.
  • Merak: “Senin hakkında şikâyet var”, “Fotoğrafın sızdı”.
  • Ödül: “İade/hediye çeki kazandın”, “Kampanya hakkın var”.
  • Otorite: Banka, devlet kurumu, kargo, CEO, İK gibi davranma.

Bu taktiklerin ortak noktası, sizi düşünmeden tıklamaya itmesidir. Kendinize kısa bir “dur” komutu verin: “Bunu şimdi yapmazsam ne olur?” Genelde cevap: hiçbir şey. Meşru kurumlar tekrar tekrar resmi kanallardan iletişime geçer.

Güvenli alışkanlıklar: Yeni başlayanlar için sağlam temel

1) Güçlü ve benzersiz şifreler

Aynı şifreyi birden çok yerde kullanmak, bir sızıntıda domino etkisi yaratır. Basit kural: Her önemli hesap için benzersiz şifre. Şifre yöneticisi kullanmak bu işi ciddi şekilde kolaylaştırır.

2) İki adımlı doğrulama (2FA)

2FA, şifre çalınsa bile hesabın ele geçirilmesini zorlaştırır. Mümkünse uygulama tabanlı doğrulama tercih edin. Ama en önemlisi: OTP kodunu kimseyle paylaşmayın. Banka veya platform çalışanı olduğunu iddia eden biri bile istese paylaşmayın.

3) E-posta adreslerini “amaçlara göre” ayırmak

Tek bir e-posta adresini her yerde kullanmak, hedef profilinizi büyütür. Daha güvenli yaklaşım:

  • Kritik hesaplar (banka, devlet, ana sosyal medya) için temiz bir adres
  • Alışveriş/abonelikler için ikinci bir adres
  • Deneme, kısa süreli kayıtlar için geçici adres kullanımı

Bu ayrım, dolandırıcılık e-postalarının “nereden geldiğini” de anlamanıza yardım eder. Temiz adresinize kargo bildirimi geliyorsa, büyük ihtimalle sahtedir.

“Yanlışlıkla tıkladım” panik rehberi: Zarar azaltma adımları

Hata olabilir. Önemli olan hızlı ve doğru tepki. Aşağıdaki adımlar çoğu durumda hasarı sınırlar:

  1. Bilgi girdiyseniz: Hemen ilgili hesabın şifresini değiştirin. Aynı şifreyi kullandığınız diğer yerleri de değiştirin.
  2. 2FA açın: Henüz yoksa, mümkün olan en kısa sürede etkinleştirin.
  3. Oturumları kapatın: Birçok servis “tüm cihazlardan çıkış yap” seçeneği sunar.
  4. E-posta hesabınızı kontrol edin: Yönlendirme (forward) veya kurtarma e-postası değişikliği yapılmış mı bakın.
  5. Banka/kart işlemleri: Şüpheli işlem varsa bankayla hemen iletişime geçin, kartı geçici kapatın.
  6. Cihaz taraması: Şüpheli bir dosya açtıysanız güvenlik taraması yapın.

Burada kritik nokta, “utanma” yüzünden gecikmemek. Dolandırıcılık, çok kişinin başına gelir. Erken müdahale en büyük farkı yaratır.

Kısa bir hikâye: “Kargo bildirimi” gibi başlayan gün

Elif, öğle arasında telefonuna gelen bir e-postayı gördü: “Paketiniz teslim edilemedi. Adres doğrulaması yapın.” O hafta gerçekten birkaç sipariş vermişti, dolayısıyla mesaj ona “normal” geldi. Linke tıkladı, sayfa kargo firmasının sitesine benziyordu. Adresini yazdı, ardından “küçük bir doğrulama ücreti” istedi. 9,90 TL çok küçük bir miktardı; kart bilgilerini girdi.

Bir saat sonra bankadan bildirim geldi: Yurt dışı harcama denemesi. Elif panikledi ama hızlı davrandı: kartını kapattı, bankayı aradı, şifresini değiştirdi. Sonra fark etti: e-postadaki gönderen adresi kargo firmasına benzemiyordu; link de resmi alan adı değildi. Ucuz bir “doğrulama ücreti” bahanesiyle kart verisini toplamışlardı.

Elif’in şansı, hızlı hareket etmesiydi. Sonrası için de bir alışkanlık geliştirdi: Kargo bildirimi geldiyse e-postadan linke basmak yerine, uygulamayı açıp sipariş ekranından kontrol etmek.

İş e-postası kullanıyorsanız: Ekstra iki kontrol

Kurumsal ortamlarda hedef genellikle para transferi ve veri sızıntısıdır. Yeni başlayanlar için iki kritik kontrol:

  • IBAN değişti / acil ödeme gibi taleplerde mutlaka ikinci kanalla doğrulama (telefon, kurumsal chat).
  • Paylaşılan dosyalar için “gönderen gerçekten bu kişi mi?” kontrolü. Hesabı ele geçirilmiş olabilir.

Şirketler için en pahalı saldırılar, basit bir “tamam” ile başlar. Bu yüzden prosedür sıkıcı görünse bile hayat kurtarır.

Sonuç: Güvenlik bir refleks işidir

E-posta dolandırıcılığıyla mücadelede “en güçlü araç” en pahalı yazılım değil; doğru refleks. Göndereni kontrol etmek, linki okumak, aciliyet diline kapılmamak ve kritik hesapları ayrı tutmak… Bunlar yeni başlayan birinin bile uygulayabileceği, basit ama etkili adımlardır.

Bir süre sonra bu kontroller otomatikleşir ve tıklamadan önce içinizde küçük bir alarm çalar. O alarm, çoğu zaman sizi büyük bir dertten kurtarır.

Hatırlatma: Bu içerik bilgilendirme amaçlıdır. Şüpheli bir işlem veya hesap ele geçirme durumunda ilgili hizmet sağlayıcının resmi destek kanallarını kullanın.

Tip: Temporary inboxes are best for low-risk sign-ups and verification. Avoid sensitive accounts that require long-term recovery access.