Oltalama (Phishing) Nedir? Kurumsal E-postalarda Nasıl Korunulur
Kimlik avı saldırılarının yüzde 90'ından fazlası e-posta üzerinden başlıyor. Yaygın taktikler, çalışan farkındalığı ve mail filtreleme ile korunma.
18 Haziran 2026 · 6 dk okuma
Oltalama (phishing), saldırganların kendilerini güvenilir bir kurum veya kişi gibi göstererek kullanıcıları kandırmasına dayanan bir sosyal mühendislik yöntemidir. Amaç genellikle kullanıcı adı/parola çalmak, kötü amaçlı dosya çalıştırtmak veya doğrudan para transferi yaptırmaktır. Güvenlik ihlallerinin büyük bölümü hâlâ bir phishing e-postasıyla başlıyor, çünkü en güçlü güvenlik duvarı bile bir çalışanın sahte bir bağlantıya tıklamasını her zaman engelleyemez.
Yaygın Oltalama Taktikleri
- Sahte fatura / kargo bildirimi: "Ödemeniz gecikti" veya "Kargonuz teslim edilemedi" başlıklı, kötü amaçlı ek içeren e-postalar
- CEO dolandırıcılığı (Business Email Compromise): üst yöneticinin kimliğine bürünerek muhasebe departmanından acil havale talep etme
- Kimlik bilgisi hırsızlığı: Microsoft 365, banka veya bulut servisi giriş sayfasına birebir benzeyen sahte siteler
- Spear phishing: belirli bir kişiye özel, LinkedIn/şirket web sitesinden toplanan bilgilerle hazırlanmış hedefli saldırılar
- QR kod oltalama (quishing): e-posta veya kağıt üzerinde QR kod ile mobil cihazdan sahte siteye yönlendirme
Sahte Bir E-postayı Tanımanın Yolları
- Gönderen adresini dikkatlice kontrol edin: görünen ad doğru olsa bile gerçek e-posta adresi genellikle şüpheli bir alan adı içerir.
- Aciliyet ve baskı dilinden şüphelenin: "Hemen işlem yapılmazsa hesabınız kapatılacak" gibi ifadeler klasik bir manipülasyon taktiğidir.
- Bağlantı üzerine gelin, tıklamadan önce hedef URL'yi görün: masaüstünde fare imlecini bağlantının üzerinde bekletmek gerçek adresi gösterir.
- Beklenmedik ekleri açmayın: özellikle .zip, .exe, makro içeren Office dosyaları yüksek risk taşır.
- İkinci bir kanaldan doğrulayın: özellikle ödeme veya banka bilgisi değişikliği talep eden e-postaları telefonla teyit edin.
Saldırganlar artık yapay zeka destekli araçlarla dilbilgisi hatası olmayan, kurumsal üsluba uygun e-postalar üretebiliyor. "Kötü Türkçe yazılmış e-postalara dikkat" kuralı tek başına yeterli bir savunma değil.
Kurumsal Düzeyde Korunma
Çalışan farkındalığı önemli bir katman olsa da, teknik kontrollerle desteklenmelidir:
- Gelişmiş mail filtreleme: kötü amaçlı ek, link ve sahte gönderen adresi tespiti (DMARC/SPF/DKIM doğrulaması dahil)
- URL zaman-tıklama koruması (time-of-click): kullanıcı bağlantıya tıkladığı anda bağlantının güvenliğini yeniden kontrol etme
- Çok faktörlü kimlik doğrulama (MFA): parola çalınsa bile hesabın ele geçirilmesini zorlaştırır
- Simülasyon ve eğitim: düzenli phishing tatbikatlarıyla çalışan farkındalığını ölçme ve geliştirme
Trend Micro Worry-Free Business Security ve TrendAI Vision One™, mail geçidi seviyesinde davranışsal analiz ve URL itibar kontrolüyle oltalama e-postalarının büyük bölümünü kullanıcıya ulaşmadan durdurur. Kurumunuz için uygun mail güvenliği yapılandırmasını değerlendirmek üzere bizimle iletişime geçebilirsiniz.
Kurumunuz için doğru güvenlik çözümünü belirleyelim