Ana Sayfa/Kaynaklar/Oltalama (Phishing) Nedir? Kurumsal E-postalarda Nasıl Korunulur
Kimlik Avı

Oltalama (Phishing) Nedir? Kurumsal E-postalarda Nasıl Korunulur

Kimlik avı saldırılarının yüzde 90'ından fazlası e-posta üzerinden başlıyor. Yaygın taktikler, çalışan farkındalığı ve mail filtreleme ile korunma.

18 Haziran 2026 · 6 dk okuma

Oltalama (phishing), saldırganların kendilerini güvenilir bir kurum veya kişi gibi göstererek kullanıcıları kandırmasına dayanan bir sosyal mühendislik yöntemidir. Amaç genellikle kullanıcı adı/parola çalmak, kötü amaçlı dosya çalıştırtmak veya doğrudan para transferi yaptırmaktır. Güvenlik ihlallerinin büyük bölümü hâlâ bir phishing e-postasıyla başlıyor, çünkü en güçlü güvenlik duvarı bile bir çalışanın sahte bir bağlantıya tıklamasını her zaman engelleyemez.

Yaygın Oltalama Taktikleri

  • Sahte fatura / kargo bildirimi: "Ödemeniz gecikti" veya "Kargonuz teslim edilemedi" başlıklı, kötü amaçlı ek içeren e-postalar
  • CEO dolandırıcılığı (Business Email Compromise): üst yöneticinin kimliğine bürünerek muhasebe departmanından acil havale talep etme
  • Kimlik bilgisi hırsızlığı: Microsoft 365, banka veya bulut servisi giriş sayfasına birebir benzeyen sahte siteler
  • Spear phishing: belirli bir kişiye özel, LinkedIn/şirket web sitesinden toplanan bilgilerle hazırlanmış hedefli saldırılar
  • QR kod oltalama (quishing): e-posta veya kağıt üzerinde QR kod ile mobil cihazdan sahte siteye yönlendirme

Sahte Bir E-postayı Tanımanın Yolları

  1. Gönderen adresini dikkatlice kontrol edin: görünen ad doğru olsa bile gerçek e-posta adresi genellikle şüpheli bir alan adı içerir.
  2. Aciliyet ve baskı dilinden şüphelenin: "Hemen işlem yapılmazsa hesabınız kapatılacak" gibi ifadeler klasik bir manipülasyon taktiğidir.
  3. Bağlantı üzerine gelin, tıklamadan önce hedef URL'yi görün: masaüstünde fare imlecini bağlantının üzerinde bekletmek gerçek adresi gösterir.
  4. Beklenmedik ekleri açmayın: özellikle .zip, .exe, makro içeren Office dosyaları yüksek risk taşır.
  5. İkinci bir kanaldan doğrulayın: özellikle ödeme veya banka bilgisi değişikliği talep eden e-postaları telefonla teyit edin.

Saldırganlar artık yapay zeka destekli araçlarla dilbilgisi hatası olmayan, kurumsal üsluba uygun e-postalar üretebiliyor. "Kötü Türkçe yazılmış e-postalara dikkat" kuralı tek başına yeterli bir savunma değil.

Kurumsal Düzeyde Korunma

Çalışan farkındalığı önemli bir katman olsa da, teknik kontrollerle desteklenmelidir:

  • Gelişmiş mail filtreleme: kötü amaçlı ek, link ve sahte gönderen adresi tespiti (DMARC/SPF/DKIM doğrulaması dahil)
  • URL zaman-tıklama koruması (time-of-click): kullanıcı bağlantıya tıkladığı anda bağlantının güvenliğini yeniden kontrol etme
  • Çok faktörlü kimlik doğrulama (MFA): parola çalınsa bile hesabın ele geçirilmesini zorlaştırır
  • Simülasyon ve eğitim: düzenli phishing tatbikatlarıyla çalışan farkındalığını ölçme ve geliştirme

Trend Micro Worry-Free Business Security ve TrendAI Vision One™, mail geçidi seviyesinde davranışsal analiz ve URL itibar kontrolüyle oltalama e-postalarının büyük bölümünü kullanıcıya ulaşmadan durdurur. Kurumunuz için uygun mail güvenliği yapılandırmasını değerlendirmek üzere bizimle iletişime geçebilirsiniz.

4gen

Kurumunuz için doğru güvenlik çözümünü belirleyelim

Danışmanlık Talebi
WhatsApp'tan Yaz

Sitemizde yalnızca ölçüm amaçlı Google Analytics çerezleri kullanıyoruz. Onayınızla etkinleştirilir; istediğiniz zaman Çerez Politikası sayfasından tercihinizi değiştirebilirsiniz.