İnternette en sık karşılaşılan dolandırıcılık yöntemi, karşınıza güvendiğiniz bir kurumun (bankanız, kargo firmanız, bir devlet kurumu) sitesiymiş gibi görünen sahte bir sayfa çıkarmaktır. Buna “phishing” yani “oltalama” denir. Amacı basittir: sizi panikletip ya da bir ödülle kandırıp kullanıcı adı, şifre veya kart bilgilerinizi kendi elinizle bir sahtekara yazdırmak. Bu rehberde, bir sahte siteyi nasıl tanıyacağınızı ve kendinizi nasıl koruyacağınızı adım adım anlatıyoruz.
Oltalama (phishing) nasıl çalışır?
Saldırgan önce size bir tetikleyici gönderir: “Hesabınız askıya alındı”, “Kargonuz beklemede”, “Tebrikler, ödül kazandınız” gibi bir e-posta ya da SMS. Mesajdaki bağlantıya tıkladığınızda, gerçeğine neredeyse birebir benzeyen sahte bir siteye düşersiniz. Oraya bilgilerinizi girdiğiniz anda, o bilgiler doğrudan saldirganın eline geçer. İşin püf noktası, bu mesajların sizi düşünmeye fırsat vermeden, aceleyle hareket etmeye itmesidir.
Sahte bir siteyi nasıl tanırsınız?
- Adres çubuğunu okuyun: Saldirganlar harf oyunu yapar. “garanti.com.tr” yerine “garantii.com”, “garanti-destek.net” gibi. Resmi alan adının bittiği yere dikkat edin.
- HTTPS tek başına yeterli değil: Yanındaki kilit işareti sadece bağlantının şifreli olduğunu gösterir; sitenin dürüst olduğunu değil. Sahte siteler de kilit alabilir.
- Acele ve korku diline şüpheyle bakın: “Son 10 dakika”, “hemen doğrulayın yoksa hesabınız silinecek” gibi baskı cümleleri klasik bir tuzaktır.
- Ödül ve ceza tuzakları: Beklenmedik bir ödül ya da ansızın gelen bir ceza/borç bildirimi, sizi panikletmek için kurulmuş olabilir.
Korunmak için altın kurallar
- Mesajdaki bağlantıya tıklamak yerine, kurumun adresini tarayıcıya kendiniz elle yazın ya da resmi uygulamasını kullanın.
- Hesaplarınızda iki adımlı doğrulamayı (2FA) açın; şifreniz çalınsa bile ikinci adım sizi korur.
- Her hesap için farklı ve güçlü şifreler kullanın; bunu kolaylaştırmak için bir şifre yöneticisinden yararlanın.
- Tarayıcınızı ve işletim sisteminizi güncel tutun; güncellemeler bilinen açıkları kapatır.
- Asla şifre veya kart bilgisini e-posta ya da SMS üzerinden istenen bir forma girmeyin. Ciddi hiçbir kurum bunu istemez.
Şüphelendiğinizde ne yapmalısınız?
Bir mesajdan ya da siteden en ufak şüphe duyarsınız: bağlantıya tıklamayın, hiçbir bilgi girmeyin ve kurumun resmi telefon veya uygulamasından durumu doğrulayın. Sahte siteyi fark ederseniz, bu tür olayları yetkili mercilere bildirebilirsiniz. Daha fazla bilgi ve güncel uyarılar için Türkiye’de BTK’nın yürüttüğü Güvenli İnternet farkındalık kaynağı iyi bir başvuru noktasıdır. Unutmayın: internette en güçlü güvenlik önlemi, tıklamadan önce bir saniye durup düşünmektir. İşin hocası, aceleci olmayandır.