RAFAELLCER014.CAPITALJAYS.COM

Buraya Tıklayın Demeden Önce: Şüpheli Linkleri Tanıma Rehberi

“Buraya tıklayın.”

İnternetin en pahalı cümlelerinden biri bu. Banka hesabı boşaltır, şirket ağına fidye yazılımı sokar, yıllardır kullandığınız e-posta adresini ele geçirir, sosyal medya hesabınızı saçma sapan kripto reklamlarına çevirir. Üstelik bunu çoğu zaman öyle büyük bir teknik zekâyla değil, insanların aceleciliğini, korkusunu, merakını ve dikkatsizliğini kullanarak yapar.

Sinir bozucu olan şu: Bu saldırıların çoğu önlenebilir. Gerçekten önlenebilir. Ama hâlâ “detaylı bilgi için tıklayın” yazan her mesaja koşan, “kargonuz teslim edilemedi” SMS’indeki bağlantıyı incelemeden açan, “resmi web sitesi” diye önüne atılan sahte sayfaya kart bilgisi giren insanlar var. Daha kötüsü, kurumlar da hâlâ çalışanlarını “dikkatli olun” diye uyarmayı güvenlik politikası sanıyor. Dikkatli olun ne demek? Neye dikkat edeceğiz? Hangi link kötü, hangisi gerçek? Kötü niyetli bağlantıların dili nasıl değişti? İşte mesele burada.

Şüpheli linkleri tanımak, siber güvenliğin en temel reflekslerinden biridir. Fakat temel olması basit olduğu anlamına gelmez. Saldırganlar artık “bedava iPhone kazandınız” seviyesinde takılmıyor. Banka adı kullanıyorlar, belediye duyurusu taklidi yapıyorlar, e-Devlet görünümü veriyorlar, insan kaynakları dosyası gibi davranıyorlar, hatta şirket içinden gönderilmiş gibi görünen toplantı bağlantıları hazırlıyorlar. Bir de utanmadan “orijinal kaynak” veya “resmi blog” yazıyorlar. Sanki yazınca gerçek olacak.

Link neden hâlâ en sevilen tuzak?

Çünkü link ucuzdur. Bir saldırganın binlerce kişiye sahte bağlantı göndermesi neredeyse maliyetsizdir. Birkaç alan adı alır, bir şablon kopyalar, bir mesaj yazar ve bekler. İçlerinden yüzde biri bile tıklasa işini görür. Hele o yüzde birin içinde yönetici, muhasebe çalışanı, sistem yöneticisi veya müşteri verilerine erişimi olan biri varsa, tek bir tıkla başlayan hikâye haftalarca süren felakete dönüşebilir.

Link aynı zamanda masum görünür. Bir belge paylaşımı, kargo takip sayfası, fatura indirme alanı, kampanya duyurusu, toplantı daveti, şifre yenileme ekranı. İnsan zihni bunları günlük akışın parçası olarak görür. Sabah kahvesiyle gelen 47 e-posta arasında kim her bağlantıyı büyüteçle inceleyecek? İşte saldırgan tam olarak buna oynar. Sizi teknik olarak yenmez, takviminizi, yorgunluğunuzu ve panik anınızı kullanır.

Bir keresinde küçük bir şirketin muhasebe biriminde yaşanan olayı incelemiştim. Gelen e-posta, tedarikçiden gelmiş gibi görünüyordu. Konu satırı “vadesi geçen fatura” idi. İçerikte “detaylı bilgi için bağlantıyı kullanın” yazıyordu. Bağlantı bir bulut depolama sayfasına gidiyor gibi görünüyordu. Çalışan tıkladı, Microsoft oturum açma ekranına benzeyen sahte sayfada kullanıcı adını ve şifresini girdi. Yarım saat içinde posta kutusundan gerçek tedarikçi yazışmaları okundu, iki saat içinde ödeme talimatı değiştirildi. Ortada Hollywood filmi yoktu. Sadece kötü yazılmış ama zamanlaması iyi yapılmış bir link vardı.

“Resmi web sitesi” yazıyorsa daha çok şüphelenin

Dolandırıcıların en sevdiği numaralardan biri güven kelimelerini bolca kullanmaktır. “Resmi web sitesi”, “güvenli ödeme”, “orijinal kaynak”, “kaynak site”, “onaylı işlem”, “son uyarı”, “hesabınız askıya alınacak.” Bu kelimeler tek başına hiçbir şey kanıtlamaz. Hatta çoğu zaman tam tersini kanıtlar: Bir şey kendini fazla açıklıyorsa, kokusu çıkmaya başlamıştır.

Gerçek kurumlar da elbette “resmi web sitesi” ifadesini kullanabilir. Ama sahte sayfaların buna özellikle abanmasının nedeni, kullanıcıyı düşünmekten vazgeçirmektir. Bir bağlantının güvenli olup olmadığını metinde yazan iddia değil, bağlantının kendisi belirler. “Siteyi ziyaret et” düğmesi yeşil olabilir, altında kilit simgesi olabilir, sayfa tasarımı birebir kopyalanmış olabilir. Bunlar dekor. Güvenlik dekorla değil, alan adıyla, sertifika bilgisiyle, yönlendirme davranışıyla, bağlamla ve kaynağın doğrulanmasıyla anlaşılır.

Özellikle mobil cihazlarda bu daha beter. SMS geliyor, ekranda sadece kısaltılmış bir link görünüyor. Parmak zaten ekranın üzerinde. “Tıkla” yazmışlar, insan refleksle basıyor. Tarayıcı adres çubuğu küçük, alan adının tamamı görünmüyor, sahte sayfa banka uygulaması gibi tasarlanmış. Sonra “Ben nasıl kandım?” diye kızıyoruz. Kızmakta haklısınız, ama öfkeyi kendinize değil, bu pis düzenin çalışma biçimine ve kendi alışkanlıklarınıza yöneltin.

Alan adı oyunu: Sahtekârlığın en sevimsiz vitrini

Bir linki değerlendirirken ilk bakılacak yer bağlantının görünen metni değil, gerçek hedefidir. E-postada “buraya tıkla” yazan metnin arkasında bambaşka bir adres olabilir. Web sayfasında “resmi blog” diye görünen bağlantı sahte bir alan adına gidebilir. Mesajda “bankanız” denir, link bankanızla ilgisi olmayan bir adrese çıkar.

Alan adı okuma becerisi bu yüzden hayat kurtarır. Bir adresin en önemli kısmı ana alan adıdır. Örneğin sube.ornekbanka.com.tr ile ornekbanka.com.tr.sifre-yenileme.net aynı şey değildir. İlkinde ana alan adı büyük olasılıkla ornekbanka.com.tr olur. İkincisinde ise ana alan adı sifre-yenileme.nettir. Dolandırıcılar kullanıcıların soldan sağa hızlı okumasını kullanır. Başta banka adını görürsünüz, rahatlar ve devamını okumazsınız. Tam istedikleri şey.

Bir de harf oyunları var. rn ile m benzetilir, l ile I karıştırılır, Türkçe karakterler kullanılır, rakamlar harf gibi yerleştirilir. paypaI.com adresindeki son karakter büyük i olabilir, gözünüz kaçırır. garantl gibi bir yazım, aceleyle bakınca gerçek marka gibi görünebilir. Bunu yapanların amacı zekice görünmek değil, sizin yorgun anınıza denk gelmektir. Ve maalesef denk geliyor.

URL kısaltıcılar da ayrı bir baş belasıdır. Kısa linklerin meşru kullanımı vardır, bunu inkâr etmeyelim. Pazarlama ekipleri kampanya takibi için kullanır, sosyal medya karakter sınırları yüzünden kullanılır, basılı materyalde pratik olabilir. Ama bir banka, kamu kurumu veya kritik işlem sizden kısa link üzerinden şifre girmenizi istiyorsa alarm çalmalı. Kısa link, hedefi gizler. Hedef gizleniyorsa, en azından bağlantıyı incelemeden ilerlemek akıl tutulmasıdır.

Link metni değil, hedef adres konuşur

Bir bağlantının üzerinde ne yazdığı çoğu zaman yalandır. “Detaylı bilgi” yazabilir, “kaynak site” yazabilir, “blog adresi” yazabilir. Hatta https://www.guvenilirsite.com gibi görünen metin, tıklandığında bambaşka bir yere gidebilir. Masaüstünde çoğu tarayıcıda fareyi bağlantının üzerine getirince sol altta gerçek adres görünür. Bu küçük alışkanlık, birçok rezilliği başlamadan bitirir. Mobilde ise bağlantıya basılı tutup önizleme veya kopyalama seçenekleriyle hedefi görmek gerekir. Evet, iki saniye sürer. Hayır, o iki saniye kayıp değildir. O iki saniye bazen bütün hesabınızı kurtarır.

HTML e-postalarda görüntülenen metin ile gerçek bağlantı farklı olabilir. Bu yıllardır bilinen bir numara, ama hâlâ çalışıyor. Çünkü insanlar bağlantının metnini okuyor, hedefini okumuyor. Kurumsal eğitimlerde defalarca gördüm: “Linkte şirket adı yazıyordu” diyen çalışan, gerçek URL’nin alakasız bir alan adı olduğunu ancak olaydan sonra fark ediyor. Bu noktada kimseye “nasıl görmedin?” diye bağırmak çözüm değil. Ama sistemi bu kadar kör kullanmak da kabul edilebilir değil.

Bazı linkler ise sizi ilk başta temiz görünen bir adrese götürür, sonra başka yerlere yönlendirir. Açık yönlendirme denen zafiyetler, meşru sitelerin kötüye kullanılmasına yol açabilir. Bir link gerçekten bilinen bir web sitesi ile başlıyor diye güvenli sayılmaz. Tıkladıktan sonra nereye gittiğine, adres çubuğunda ne yazdığına, oturum açma isteyen sayfanın hangi alan adında bulunduğuna bakmak gerekir. Saldırganların sevdiği numara şudur: Güvenilir bir alan adı üzerinden geçer, son durakta sahte forma indirir.

Şüpheli linklerin ortak kokusu

Her kötü link aynı görünmez. Bazısı berbat Türkçe ile yazılmıştır, bazısı kusursuz kurumsal dille gelir. Bazısı gece yarısı SMS olarak düşer, bazısı gerçek bir e-posta zincirinin içine sızar. Yine de çoğunda ortak bir koku vardır: acele, korku, ödül, belirsizlik veya otorite.

“Kargonuz teslim edilemedi, bugün ödeme yapmazsanız iade edilecek.” Kargo şirketleri ücret isteyebilir, ama her SMS gerçek değildir. “Hesabınız askıya alınacak, buraya tıklayın.” Büyük platformlar güvenlik uyarısı gönderebilir, ama şifre yenilemeyi e-postadaki linkten yapmak zorunda değilsiniz. “Vergi iadeniz hazır, tıklayın.” Kamu kurumları dijital bildirim yapabilir, ama bağlantıyı kontrol etmeden kimlik bilgisi girmek düpedüz tehlikelidir.

Sahte linkler genellikle sizi kendi normal davranışınızdan koparmaya çalışır. Normalde bankaya girmek için uygulamayı açarsınız, ama mesajdaki link sizi tarayıcıya çeker. Normalde e-Devlet için kendiniz adres yazarsınız, ama SMS sizi kopya sayfaya götürür. Normalde şirket dosyalarını kendi portalınızda görürsünüz, ama gelen e-posta sizi yabancı bir oturum açma ekranına zorlar. Bu sapmalar önemlidir. “Neden buradan yapıyorum?” sorusu, pek çok saldırıyı keser.

Burada sinirlendiğim nokta şu: Birçok kurum hâlâ kullanıcıyı link bombardımanına tutuyor. Her kampanya e-postasında “tıklayın”, her duyuruda “siteyi ziyaret et”, her işlemde kocaman düğmeler. Sonra kullanıcı sahte linke tıklayınca herkes şaşırıyor. Siz yıllarca insanlara linke basmayı öğrettiniz. Güvenlik kültürü, sadece saldırgana kızmakla kurulmaz. Meşru kurumların da daha temiz, daha doğrulanabilir iletişim kurması gerekir.

Hızlı kontrol: Tıklamadan önce beş saniyelik öfke molası

Aşağıdaki kısa kontrol, gereksiz paranoyadan değil, yaşanmış binlerce olayın özünden çıktı. Her linkte doktora tezi yazmanıza gerek yok. Ama kritik işlem, para, şifre, kimlik, şirket hesabı veya dosya indirme varsa bu beş soruyu sormadan ilerlemeyin.

  1. Gönderen gerçekten beklediğim kişi veya kurum mu, yoksa adı tanıdık diye mi rahatladım?
  2. Bağlantının hedef alan adı, kurumun gerçek resmi web sitesi ile birebir uyumlu mu?
  3. Mesaj benden acele etmemi, korkmamı veya hemen ödeme yapmamı mı istiyor?
  4. Link beni şifre, kart bilgisi, kimlik numarası veya iki faktör kodu girmeye mi zorluyor?
  5. Aynı işlemi linke basmadan, uygulamayı açarak veya adresi kendim yazarak yapabilir miyim?

Bu soruların birine bile kötü cevap veriyorsanız durun. Durmak ayıp değil. Asıl ayıp, şüpheli bağlantıya bütün bilgileri döşeyip sonra “ama çok gerçek görünüyordu” demek. Gerçek görünmesi zaten işin parçası.

HTTPS kilidi her şeyi çözmez

Adres çubuğundaki kilit simgesine hâlâ gereğinden fazla anlam yükleniyor. HTTPS, bağlantınızın tarayıcı ile site arasında şifreli olduğunu gösterir. Bu iyidir, gereklidir, ama sitenin dürüst olduğunu garanti etmez. Dolandırıcı da sertifika alabilir. Sahte site de HTTPS kullanabilir. Hatta artık birçok sahte sayfa kilitsiz değil, gayet kilitli gelir. Çünkü ücretsiz ve otomatik sertifika sistemleri yaygınlaştı. Bu sistemler web güvenliği için genel olarak faydalı, ama kullanıcıların “kilit varsa güvenlidir” yanılgısını da çürüttü.

Kilit simgesi şu anlama gelir: Bu sahte siteyle güvenli şekilde konuşuyorsunuz. Ne acı, değil mi? Şifrenizi dolandırıcıya yollarken aradaki trafik şifreli olabilir. Bu yüzden HTTPS’e bakın, ama orada durmayın. Alan adını okuyun. Sertifika detaylarını gerekirse inceleyin. Özellikle kurumsal ve finansal işlemlerde tarayıcı adres çubuğunda görünen alan adını, kurumun bilinen adresiyle karşılaştırın.

Bir bankanın giriş ekranı bankaismi.com.tr altında mı, yoksa bankaismi-guvenli-giris.com gibi sonradan uydurulmuş bir yerde mi? Bir kamu hizmeti gerçekten ilgili kurumun alan adında mı, yoksa garip bir kampanya sitesinde mi? Bir resmi blog yazısı gerçekten kurumun bilinen blog adresi altında mı, yoksa “orijinal kaynak” yazan rastgele bir sayfada mı? Cevaplar genellikle gözünüzün önündedir, yeter ki bakmayı reddetmeyin.

QR kodlar da linktir, sadece daha sinsi

Restoranda menü, otoparkta ödeme, etkinlikte kayıt, afişte kampanya. QR kodlar her yerde. Ve evet, QR kod da linktir. Hatta daha tehlikeli olabilir, çünkü gözle okuyamazsınız. Bir çıkartma basıp gerçek QR kodun üstüne yapıştırmak çocuk oyuncağıdır. Otopark ödeme noktasındaki sahte QR kodla insanların kart bilgilerini toplayan vakalar dünya genelinde görüldü. Türkiye’de de benzer tuzaklara şaşırmak için hiçbir sebep yok.

QR kod okuttuğunuzda telefon genellikle hedef adresi gösterir. İşte o ekranda durun. Hemen açmayın. Adres kısa link mi? Alan adı işletmenin adıyla uyumlu mu? Ödeme istiyorsa neden kendi uygulamasına veya bilinen ödeme altyapısına gitmiyor? Bir kafede menü için QR okutmak başka, kimlik bilgisi girmek başka. İkisini aynı risk seviyesinde görmek saflık olur.

Kurumsal ortamlarda QR ile giriş veya cihaz eşleştirme daha da hassastır. Bir toplantı salonunda bırakılmış “Wi-Fi için QR kodu okutun” kâğıdı, kötü niyetli bir ağ profiline yönlendirebilir. Her QR kodu zararlı sanın demiyorum. Ama QR kodu görünce beyninizi kapatmayın. Kod kareli diye masum olmuyor.

E-posta, SMS, sosyal medya: Her kanalın ayrı numarası var

E-postada saldırganın alanı geniştir. Logo koyar, imza ekler, önceki yazışmaları taklit eder, ek dosya ekler, bağlantıyı düğme içine saklar. Kurumsal dünyada en tehlikeli linklerin önemli kısmı hâlâ e-postadan gelir. Özellikle “fatura”, “teklif”, “ödeme”, “insan kaynakları”, “performans değerlendirme”, “paylaşılan belge” temaları hiç eskimez. Çünkü iş hayatı zaten bu kelimelerle doludur.

SMS tarafı daha kaba ama çok etkilidir. Kısa mesajda bağlam azdır, ekran küçüktür, kullanıcı daha acelecidir. Kargo ve banka temalı SMS dolandırıcılığı bu yüzden bitmiyor. Gönderen adı sahte görünebilir veya eski mesaj zincirine düşmüş gibi durabilir. Bazı durumlarda telefon, aynı başlık altına gerçek kaynak site ve sahte mesajları karıştırabilir. “Daha önce bu numaradan gerçek mesaj gelmişti” rahatlığı ölümcül olabilir.

Sosyal medya ve mesajlaşma uygulamalarında işin içine ilişki güveni girer. Arkadaşınızdan gelen “şuna oy verir misin, buraya tıkla” mesajı aslında ele geçirilmiş hesaptan geliyor olabilir. Bir iş bağlantısı LinkedIn üzerinden dosya paylaşımı gönderebilir, ama hesap sahte olabilir. WhatsApp grubunda paylaşılan “kampanya linki” herkese masum görünür, çünkü tanıdık biri atmıştır. Tanıdık kişinin iyi niyeti, linkin güvenli olduğunu kanıtlamaz. Hesabı çalınmış olabilir, o da kandırılmış olabilir, sadece düşünmeden iletmiş olabilir.

“Ben sadece baktım” diye bir savunma yok

Bazı insanlar linke tıklayıp hiçbir şey indirmediyse güvende olduğunu sanıyor. Keşke bu kadar basit olsaydı. Modern tarayıcılar ve işletim sistemleri eskiye göre daha güvenli, evet. Sadece bir sayfayı açmak çoğu zaman tek başına felaket yaratmaz. Ama “çoğu zaman” güvenlik stratejisi değildir.

Bir sayfa sizi sahte giriş ekranına götürebilir. Tarayıcı bildirim izni isteyebilir, siz fark etmeden izin verebilirsiniz. Zararlı reklam ağı üzerinden başka sayfalara yönlendirebilir. Eski cihazlarda veya güncellenmemiş tarayıcılarda açıkları tetikleyebilir. Mobilde sahte uygulama indirmeye zorlayabilir. Kurumsal cihazlarda oturum çerezleri, tek oturum açma akışları ve dosya indirmeleri ayrı riskler yaratır. Yani “sadece baktım” bazen gerçekten sadece bakmaktır, bazen de kapıyı aralamaktır.

Özellikle kimlik avı sayfalarında asıl zarar, kullanıcının kendi eliyle bilgi girmesidir. Şifre, SMS kodu, kimlik numarası, kart bilgisi, anne kızlık soyadı, e-posta doğrulama kodu. Saldırganın ihtiyacı olan şey çoğu zaman budur. İki faktör kodunu isteyen sayfaya denk gelirseniz daha da sinirlenin, çünkü bu artık düpedüz hesabınızın canlı canlı devralınmasıdır. Hiçbir ciddi kurum sizden gelen SMS kodunu rastgele bir web formuna girmenizi istemez. Oturum açma sırasında kod girilebilir, ama bunu doğru alan adında yaptığınızdan emin değilseniz o kodu vermek anahtarı teslim etmektir.

Şüphelendiğiniz linki nasıl kontrol edersiniz?

Her kullanıcı güvenlik analisti olmak zorunda değil. Ama birkaç pratik yöntem herkesin elinde olmalı. En güvenlisi, kritik işlemlerde linki kullanmamaktır. Banka mı? Uygulamayı açın. Kamu işlemi mi? Adresi kendiniz yazın veya yer iminizden gidin. Bir şirket portalı mı? Bilinen giriş adresini kullanın. Linkin sunduğu kestirme yolu reddetmek, saldırganın planını bozar.

Bağlantıyı kopyalayıp düz metin olarak bir yere yapıştırmak, gerçek hedefi görmenizi sağlar. Ama dikkat, bazı mesajlaşma uygulamaları önizleme üretirken linke istek gönderebilir. Güvenli analiz servisleri ve kurumsal e-posta güvenlik araçları bu yüzden vardır. Bireysel kullanıcılar için de URL kontrol hizmetleri bulunur, fakat buraya da kişisel veya gizli linkleri gelişigüzel yapıştırmak doğru değildir. Örneğin size özel şifre sıfırlama bağlantısı, içinde token taşıyabilir. Onu rastgele bir üçüncü taraf servise vermek başka bir risk doğurur.

Şüpheli bir kurumsal e-postayı doğrulamak istiyorsanız, e-postayı yanıtlamak yerine bilinen kanaldan kişiye ulaşın. Muhasebe ödemesi değiştiyse telefonla arayın, ama e-postadaki numarayı değil, kayıtlı numarayı kullanın. İnsan kaynakları dosyası geldiyse şirket içi sistemden kontrol edin. Tedarikçi “yeni IBAN” gönderdiyse eski iletişim kanalından doğrulayın. Bu zahmetli mi? Evet. Ama yanlış hesaba gönderilen yüksek tutarlı ödemenin ardından yapılan toplantılardan daha zahmetli değil.

Kırmızı bayraklar: Görünce durun

Bazı işaretler tek başına kesin kanıt değildir, ama bir araya geldiklerinde tabloyu netleştirir. Linkin kötü olduğunu anlamak için her zaman antivirüs uyarısı beklemeyin. Zaten iyi dolandırıcılık, uyarı çıkmadan sizi kandırmak için tasarlanır.

  1. Alan adı markaya benziyor ama tam aynı değil, fazladan kelime, rakam veya garip uzantı içeriyor.
  2. Mesaj acil işlem, ceza, hesap kapatma, ödül veya iade vaadiyle sizi acele ettiriyor.
  3. Bağlantı kısa URL, yönlendirme zinciri veya beklenmedik bir dosya indirme davranışı gösteriyor.
  4. Sayfa, normalde uygulamadan yaptığınız işlemi tarayıcıda ve farklı adreste yaptırmaya çalışıyor.
  5. Şifre, kart bilgisi veya doğrulama kodu isteyen sayfanın bağlamı zayıf ve kaynağı belirsiz.

Bu bayraklardan birkaçını aynı anda görüyorsanız artık “belki gerçektir” diye kendinizi kandırmayın. Gerçek kurumların alternatif erişim yolları vardır. Dolandırıcılar ise sizi o an, o linkte, o formda tutmak ister.

Kurumlar kullanıcıyı suçlamadan önce aynaya baksın

Bunu açık söylemek gerekiyor: Kurumların link kullanımı çoğu zaman berbat. Pazarlama ekipleri izleme parametreleriyle şişmiş adresler gönderiyor. Müşteri hizmetleri kısa link kullanıyor. Bankalar kampanya için SMS atıyor, sonra güvenlik birimi “SMS linklerine dikkat edin” diyor. Kamu kurumları farklı alt alan adları, farklı giriş ekranları, farklı tasarımlar kullanıyor. Kullanıcı hangi resmi web sitesi gerçek, hangisi değil, nasıl ayırt edecek?

Tutarlı alan adı politikası olmayan kurumların güvenlik tavsiyesi eksik kalır. Bir kurum müşterisine “sadece şu alan adlarını kullanırız” diyebilmeli. E-posta şablonları sade olmalı. Kritik işlemler için mesajdaki linke bağımlı akışlar azaltılmalı. Kullanıcıya “siteyi ziyaret et” deniyorsa, alan adı açıkça yazılmalı ve mümkünse kişi kendi tarayıcısından giriş yapmaya yönlendirilmeli. “Buraya tıklayın” düğmeleriyle dolu e-postalar, güvenlik kültürünü yavaş yavaş zehirliyor.

Şirket içinde de durum farklı değil. Çalışanlara sahte link simülasyonu yapmak tek başına yetmez. Simülasyondan sonra insanları utandıran puan tabloları yayınlamak, güvenlik değil gösteridir. Gerçek eğitim, bağlantıyı incele alışkanlığını kazandırır. Örneklerle alan adı okutur. Mobil ekran görüntüleri üzerinde pratik yaptırır. Finans, insan kaynakları ve üst yönetim gibi yüksek riskli birimlere özel senaryolar gösterir. Güvenlik ekibi de raporlanan şüpheli e-postalara hızlı dönüş yapar. Çalışan raporlayınca üç hafta sonra otomatik cevap geliyorsa kimse ikinci kez uğraşmaz.

Sosyal mühendislikte öfke, korku ve merak aynı kapıya çıkar

Saldırganların psikolojiyi bu kadar iyi kullanmasına öfkelenmemek elde değil. Bir deprem, seçim, vergi dönemi, okul kayıtları, bayram kargoları, indirim günleri, hastane randevuları, iş başvuruları. Toplum neye odaklanıyorsa dolandırıcılar oraya üşüşür. İnsanların kaygılı olduğu dönemde sahte bağış linki, işsizliğin arttığı dönemde sahte iş başvuru formu, vergi döneminde sahte ödeme sayfası. Pis ama etkili.

Merak da güçlü bir kaldıraçtır. “Hakkınızda yapılan şikâyeti görmek için tıklayın.” “Fotoğraflarınız burada paylaşılmış.” “Toplantı kaydını izleyin.” Bunlar insanın sinir uçlarına basar. Hele sosyal medya hesaplarında, tanıdık isimlerden gelirse daha da tehlikeli olur. Bir kullanıcı kendi hesabını kaybettiğinde saldırı onun çevresine yayılır. Bu yüzden ele geçirilen hesaplar sadece sahibinin sorunu değildir, bütün temas listesinin sorunudur.

Korku da aynı şekilde işler. “Hesabınız kapatılacak.” “Ceza uygulanacak.” “Son 30 dakika.” “Ödemeniz gecikti.” Aciliyet hissi, kontrol mekanizmanızı bypass eder. Bu yüzden iyi bir kural var: Acil diyorsa yavaşla. Gerçekten acil olan işlem, iki dakika doğrulama yüzünden çökmez. Çöküyorsa zaten sistem kötü tasarlanmıştır.

Çocuklar, yaşlılar ve yoğun çalışanlar daha çok hedefte

Şüpheli link meselesini sadece teknoloji bilen yetişkinlerin sorunu sanmak yanlış. Çocuklar oyun içi ödül, ücretsiz karakter, sahte turnuva veya yayıncı çekilişi linkleriyle kandırılıyor. Yaşlılar banka, kargo, sağlık randevusu ve kamu işlemleriyle hedef alınıyor. Yoğun çalışanlar ise toplantı, belge, fatura ve onay akışlarıyla vuruluyor. Her grubun zayıf noktası farklı.

Aile içinde “sakın tıklama” demek yetmez. Çocuğa oyun hesabının neden değerli olduğunu anlatmak gerekir. Yaşlı bir yakına, banka işlemi için SMS linkine basmak yerine uygulamayı açmayı göstermek gerekir. Çalışana, gerçek tedarikçi ile sahte tedarikçi e-postası arasındaki farkı örneklerle öğretmek gerekir. Güvenlik bilgisi soyut kalınca işe yaramaz. Somut ekran, somut senaryo, somut alışkanlık gerekir.

Burada bir başka can sıkıcı gerçek var: Dolandırıcılar dil hatalarını azalttı. Eskiden bozuk Türkçe ciddi ipucuydu. Hâlâ ipucudur, ama artık yeterli değildir. Çeviri araçları, kopyalanmış gerçek metinler ve sızmış e-posta yazışmaları sayesinde sahte mesajlar daha doğal görünebiliyor. “Yazım hatası yok, demek ki gerçek” devri bitti. Hatta çok düzgün yazılmış dolandırıcılık metinleriyle karşılaşmak artık olağan.

Linke tıkladıysanız panik yapmayın, ama sakın gevşemeyin

Yanlışlıkla tıkladınız. Olur. İnsanlık hâli. Ama bundan sonrası önemli. Eğer sadece sayfa açıldı ve hiçbir bilgi girmediyseniz, sekmeyi kapatın, tarayıcı geçmişindeki şüpheli indirmeleri kontrol edin, cihazınız güncel değilse güncelleyin. Bir dosya indi ve açtıysanız risk artar. Kurumsal cihazdaysanız güvenlik ekibine hemen haber verin. “Kızarlar” diye saklamak, yangını dolaba kilitlemek gibidir. Zaten loglarda çoğu şey görünür. Erken haber vermek zarar azaltır.

Şifre girdiyseniz aynı şifreyi kullandığınız tüm hesaplar risk altındadır. Öncelik, doğru siteye kendiniz gidip şifreyi değiştirmek ve aktif oturumları kapatmaktır. İki faktör doğrulama açıksa yöntemini kontrol edin. Saldırgan yeni cihaz eklemiş, yedek e-posta değiştirmiş, yönlendirme kuralı koymuş olabilir. Özellikle e-posta hesabı ele geçirildiyse, sadece şifre değiştirmek yetmez. Posta kutusunda otomatik iletme kuralları, filtreler, bağlı uygulamalar ve kurtarma bilgileri kontrol edilmelidir.

Kart bilgisi girdiyseniz bankayla gecikmeden iletişime geçin. Kimlik bilgisi verdiyseniz ilgili kurumların uyarı ve başvuru kanallarını takip edin. Şirket bilgisi veya müşteri verisi sızmış olabilirse bunu bireysel utanç meselesi yapmayın, kurumsal olay müdahalesi gerekir. En pahalı hatalar, ilk hatadan sonra gelen suskunluk yüzünden büyür.

Güvenli alışkanlık, paranoyadan farklıdır

Her linke düşman gibi bakmak yorucu olabilir. Ama güvenli alışkanlık paranoya değildir. Paranoya, hiçbir şeye güvenmemektir. Güvenli alışkanlık ise güveni doğrulamaktır. Bir bağlantının kaynağını kontrol etmek, alan adını okumak, kritik işlemi uygulamadan yapmak, şüpheli durumda ikinci kanaldan teyit almak. Bunlar abartı değil, dijital hijyen.

Günlük hayatta kapınızı kilitliyorsunuz diye paranoyak olmuyorsunuz. ATM’de şifrenizi kapatıyorsunuz diye teknoloji düşmanı olmuyorsunuz. İnternette de aynı mantık geçerli. Link, kapıdır. Kapının üstünde “resmi giriş” yazıyor diye içeri dalınmaz. Kapı gerçekten nereye açılıyor, ona bakılır.

Tarayıcı yer imleri burada basit ama etkili bir çözümdür. Banka, e-posta, şirket portalı, e-Devlet, bulut depolama gibi kritik hizmetlerin adreslerini yer imlerine ekleyin. Arama motorundan her seferinde aramak da risklidir, çünkü reklam alanlarında sahte sonuçlar çıkabilir. Evet, büyük platformlar bu konuda önlem alır, ama sahte reklamlar ve taklit sayfalar hâlâ görülebiliyor. Kritik siteye ya uygulamadan gidin ya adresi kendiniz yazın ya da yer imini kullanın.

“Detaylı bilgi için” tuzağının panzehiri: Bağlam

Bir linkin güvenli olup olmadığını anlamada bağlam en az teknik ayrıntı kadar önemlidir. Bekliyor muydunuz? Bu kişi size normalde böyle mi yazar? Bu kurum sizden bu kanaldan işlem ister mi? Mesajın zamanı mantıklı mı? Bağlantının götürdüğü sayfa, beklediğiniz işlemle uyumlu mu? Örneğin kargo takip linki sizden kart bilgisi istiyorsa bağlam kopmuştur. İnsan kaynakları anketi e-posta şifrenizi istiyorsa bağlam kopmuştur. Resmi blog yazısı diye gelen sayfa sizden oturum açmanızı istiyorsa bağlam kopmuştur.

Bağlamı iyi okuyan kullanıcı, birçok teknik ayrıntıyı bilmeden de saldırıyı sezer. Ama sezi yetmez, davranışa dönüşmeli. İçinize kurt düştüyse tıklamayın. Tıkladıysanız bilgi girmeyin. Bilgi girdiyseniz gecikmeyin. Bu kadar basit görünen zincir, çoğu olayda zararı azaltır.

Arada gri alanlar da var. Bazı meşru kurumlar üçüncü taraf hizmetlerden anket gönderir. Bazı etkinlik kayıtları farklı platformlarda tutulur. Bazı şirketler dosya paylaşımı için harici servis kullanır. İşte bu yüzden kesin kurallar kadar iyi muhakeme gerekir. Eğer link sizi düşük riskli bir duyuru sayfasına götürüyorsa risk başka, bordro belgesine veya ödeme sayfasına götürüyorsa başka. Her bağlantıya aynı tepki verilmez. Risk, istediği bilgiyle ve işlem sonucu doğuracağı zararla ölçülür.

Son söz yerine: Tıklama refleksini kırın

“Buraya tıklayın” cümlesine otomatik tepki vermeyi bırakın. Bu kadar. İnternet dolandırıcılığının büyük kısmı, insanların linke koşması üzerine kurulu. Saldırganlar tembel değil, ama sizden daha hızlı olmanızı istemiyorlar. Daha yavaş olmanızı istemiyorlar. Tam tersine, düşünmeden davranmanızı istiyorlar.

Bağlantıyı incele. Alan adını oku. Gerekirse kaynağı ayrı kanaldan doğrula. Kritik işlemde linki değil, bilinen adresi kullan. “Detaylı bilgi” yazan düğmeye değil, gerçek kaynağa güven. Bir sayfa kendine “orijinal kaynak” diyorsa bunun kanıtını adres çubuğunda ara. “Resmi web sitesi” ifadesini metinde değil, alan adında gör. “Tıklayın” diyen herkese itaat etmeyi bırak.

Bu öfke boşuna değil. Çünkü tek bir dikkatsiz tık, sadece sizin hesabınızı değil, ailenizi, iş arkadaşlarınızı, müşterilerinizi ve kurumunuzu etkileyebilir. Dolandırıcılar utanmayacak. Sahte link göndermeyi bırakmayacaklar. Kurumlar da bir süre daha kötü link alışkanlıklarını sürdürecek gibi görünüyor. O zaman geriye sizin refleksiniz kalıyor.

Tıklamadan önce durun. Beş saniye. Bazen güvenlik dediğimiz şey, o beş saniyelik inatçılıktan ibaret.