RAFAELLCER014.CAPITALJAYS.COM

Resmi Blog ve Kaynak Site Ayrımı: Diyarbakır’da Dijital Güvenlik Önerileri

Diyarbakır’da dijital güvenlik konuşulurken hâlâ en temel noktada tökezliyoruz: İnsanlar hangi sitenin gerçek, hangisinin kopya, hangisinin reklam tuzağı, hangisinin dolandırıcılık için hazırlanmış sahte bir vitrin olduğunu ayırt etmek zorunda bırakılıyor. Bu normal değil. Bir vatandaşın belediye duyurusuna, üniversite başvurusuna, hastane randevu bilgisine, yerel haber kaynağına ya da bir işletmenin kampanyasına ulaşmak için mayın tarlasında yürür gibi internet kullanması kabul edilemez.

Daha kötüsü, bu karmaşa çoğu zaman bilinçsizce oluşmuyor. Bizzat tasarlanıyor. Arama motorunda üst sıraya çıkmak için açılmış taklit sayfalar, gerçek kurumların logosunu çalan sahte web sitesi örnekleri, “detaylı bilgi için buraya tıklayın” diye insanları acele ettiren bağlantılar, sosyal medyada paylaşılan kaynağı belirsiz blog adresi görüntüleri… Hepsi aynı zayıflığı hedefliyor: Kullanıcının güven duygusu.

Diyarbakır gibi hem güçlü yerel ağlara hem de yoğun mobil internet kullanımına sahip bir şehirde bu mesele daha da hassas. İnsanlar WhatsApp gruplarından, Instagram sayfalarından, Facebook duyurularından, yerel haber sitelerinden ve arama motorlarından bilgi alıyor. Bir ilan birkaç dakikada Bağlar’dan Kayapınar’a, Sur’dan Yenişehir’e, Ergani’den Bismil’e yayılıyor. Güzel olan bu hız, kötü niyetli kişilerin elinde zehir gibi çalışıyor. Yanlış bir bağlantı, sahte bir ödeme ekranı, kopyalanmış bir resmi blog sayfası, yüzlerce kişiye aynı gün ulaşabiliyor.

“Resmi” kelimesini herkes kullanıyor, mesele kimin hak ettiği

En çok sinirlendiğim nokta bu: “Resmi” kelimesi neredeyse çöpe çevrildi. Her önüne gelen sayfanın başına “resmi” yazıyor. “Resmi başvuru”, “resmi sonuç ekranı”, “resmi duyuru”, “resmi web sitesi” diye başlık atan sahte sayfalar görüyoruz. Bazıları o kadar pişkin ki, gerçek kurumun adını kullanıp araya tek harf farkı koyuyor. İnsan da dalgınlıkla fark etmiyor. Hele telefondan bakıyorsa, adres satırı zaten küçücük. Sayfanın üstünde logo var, renkler tanıdık, metin ciddi görünüyor. Kullanıcı doğal olarak “herhalde doğrudur” diyor.

Ama dijital güvenlikte “herhalde” kelimesi pahalıdır. Banka hesabına, kimlik bilgisine, e-Devlet şifresine, kredi kartına mal olabilir. Bazen sadece para da gitmez, itibar gider. Bir esnafın Instagram hesabı çalınır, sonra o hesaptan müşterilere sahte kampanya linkleri gönderilir. Bir öğretmenin adıyla sahte yardım kampanyası açılır. Bir yerel derneğin logosu kullanılır, bağış toplanır. Sonra herkes birbirine sorar: “Nasıl oldu bu?”

Nasıl olduğu belli. Çünkü adres kontrol edilmiyor. Çünkü kaynak site sorgulanmıyor. Çünkü “tıkla” diyen her metne güveniliyor. Çünkü paylaşan kişi tanıdık olunca bağlantının da güvenilir olduğu sanılıyor. Oysa tanıdık kişinin hesabı ele geçirilmiş olabilir. Tanıdık kişi de kandırılmış olabilir. Güven zinciri bir yerden kırılınca, herkes o kırığın içinden düşüyor.

Diyarbakır’da yerel güven meselesi dijitale taşındı

Diyarbakır’da yüz yüze güven hâlâ güçlüdür. Mahallede biri bir esnafı önerir, insanlar gider. Bir doktorun adı duyulur, randevu aranır. Bir kurs, bir yardım duyurusu, bir iş ilanı, bir etkinlik haberi ağızdan ağıza yayılır. Bu sosyal doku kıymetli. Fakat aynı yapı internette kör bir güvene dönüşünce tehlikeli hale geliyor.

Bir örnek düşünün. Yerel bir etkinlik için afiş hazırlanmış. Afişte “detaylı bilgi için tıklayın” yazıyor ve bir bağlantı var. Afiş WhatsApp gruplarına düşüyor. Kimse bağlantıyı kontrol etmiyor. Çünkü afişte tanıdık bir kurumun logosu var. Oysa logo internette bulunmuş olabilir. Link kısaltılmış olabilir. Alan adı gerçek kurumun adına benziyor olabilir ama gerçek değildir. Kullanıcı siteyi ziyaret et dediğinde sahte bir form açılır. Ad, soyad, telefon, T.C. Kimlik numarası, belki “ön kayıt ücreti” istenir. Sonra geçmiş olsun.

Bu senaryolar teorik değil. Türkiye’nin her yerinde benzeri yaşanıyor. Diyarbakır’da da yerel duyuruların hızlı yayılması, bu saldırı tiplerini daha etkili kılıyor. Üstelik saldırganlar artık çok kaba hatalar yapmıyor. Eskisi gibi bozuk Türkçe, eğri büğrü tasarım, tuhaf renkler her zaman yok. Bazen sahte sayfa gerçek sayfadan daha parlak görünüyor. Bu da ayrı bir rezalet. Kurumlar kendi sitelerini güncellemezken dolandırıcılar pırıl pırıl taklit sayfa yapıyor.

Resmi blog ile kaynak site aynı şey değildir

Burada sıkça karıştırılan bir ayrımı netleştirmek gerekiyor. Resmi blog, bir kurumun, markanın, belediyenin, üniversitenin, derneğin ya da işletmenin kendi kontrolünde yayımladığı içerik alanıdır. Bu alan kurumun resmi web sitesi içinde olabilir, ayrı bir blog adresi olarak da çalışabilir. Önemli olan, alan adının ve içerik yönetiminin kurum tarafından doğrulanabilir olmasıdır.

Kaynak site ise bir bilginin dayandığı asıl veya güvenilir referans noktasıdır. Bazen resmi blog kaynak site olabilir. Bazen bir kanun metni, bir kamu kurumu duyurusu, bir üniversite sayfası, bir bilimsel yayın, bir ihale platformu, bir resmi açıklama kaynak site olur. Yani “kaynak” kelimesi, sadece herhangi bir bağlantı anlamına gelmez. Bir metnin altına rastgele link koymak, onu kaynaklı yapmaz. “Bağlantıyı incele” demek de kimseyi aklamaz. Bağlantı sahteyse, süslü çağrı metni hiçbir işe yaramaz.

Örneğin Diyarbakır’daki bir belediye hizmetiyle ilgili bilgi arıyorsanız, sosyal medya paylaşımını değil, belediyenin doğrulanmış resmi web sitesi ya da doğrulanmış sosyal medya hesabını temel almalısınız. Bir üniversite kayıt tarihi konuşuluyorsa, öğrenci forumundaki yorum değil, üniversitenin resmi duyurusu veya ilgili idari birimin sayfası esas alınmalıdır. Bir sağlık hizmetiyle ilgili randevu, ücret, belge veya başvuru bilgisi aranıyorsa, rastgele bir blog yazısı değil, ilgili hastane, bakanlık veya kurum sayfası kontrol edilmelidir.

Sahte içerikler genellikle bu ayrımı bulanıklaştırır. “Orijinal kaynak” der ama orijinal değildir. “Resmi blog” der ama kurumla bağı yoktur. “Kaynak site” der ama reklam dolu bir ara sayfadır. “Buraya tıklayın” diye bağırır ama nereye götürdüğünü saklar. İşte insanı çileden çıkaran şey budur: Bilgiye ulaşmak isteyen kişiyi bilerek sisin içine sokarlar.

Alan adı kontrolü, dijital güvenliğin kapı kilididir

Bir evin kapısını kilitlemeden çıkmak nasıl ihmalse, internet bağlantısına bakmadan kişisel bilgi girmek de aynı ihmaldir. Hatta daha kötüsü. Çünkü kapı açık kalırsa belki komşu görür, hırsız cayabilir. Sahte web sitesi ise sessizdir, hızlıdır, yüzsüzdür. Siz bilgiyi girersiniz, saniyeler içinde başka bir yerde kullanılır.

Alan adı kontrolü derken kastım sadece “https var mı” bakmak değil. Evet, bağlantının güvenli protokol kullanması önemlidir, ama tek başına güven garantisi değildir. Dolandırıcılar da artık HTTPS kullanıyor. Tarayıcıdaki kilit simgesi, sitenin dürüst olduğunu değil, bağlantının şifrelendiğini gösterir. Bu kadar basit bir farkın hâlâ anlatılmak zorunda olması bile can sıkıcı.

Gerçek kontrol adresin kendisinde başlar. Kurumun adı doğru mu yazılmış? Alan adı garip ekler içeriyor mu? “com”, “org”, “net” gibi uzantılar tek başına güven verir mi? Hayır. Kamu kurumları için Türkiye’de genellikle “gov.tr”, üniversiteler için “edu.tr” gibi uzantılar beklenir, fakat burada da dikkat gerekir. Bir sayfa gerçek bir kuruma ait gibi görünse bile bağlantı başka bir adrese yönleniyor olabilir. Mobilde bağlantıya basmadan önce basılı tutup hedef adresi görmek, küçük ama etkili bir alışkanlıktır.

Diyarbakır’daki küçük işletmeler için de durum farklı değil. Bir restoran, klinik, kurs merkezi, emlak ofisi veya turizm firması kendi resmi web sitesi adresini her yerde aynı şekilde yazmalı. Instagram biyografisinde başka, Google işletme profilinde başka, kartvizitte başka adres varsa kullanıcı haklı olarak şüphelenir. Bir işletme dijital kimliğini dağınık bıraktığında, dolandırıcıya boş alan açar.

“Buraya tıkla” kültürü başlı başına sorun

İnternetteki en tembel ve en tehlikeli çağrı cümlelerinden biri “buraya tıkla”dır. Kullanıcıya bilgi vermez, hedefi açıklamaz, güven üretmez. Hele “detaylı bilgi için buraya tıklayın” cümlesi, bağlantının nereye gittiğini göstermeden kullanılıyorsa kötü bir alışkanlıktır. Bir metin, bağlantının hedefini açıkça anlatmalıdır. “Başvuru formu için belediyenin resmi duyuru sayfasını açın” demek başkadır, “tıkla” demek başkadır.

Bu sadece kullanıcı meselesi değil, içerik bağlantıyı incele üretenlerin de sorumluluğu var. Yerel haber siteleri, blog yazarları, kurum sayfaları, sosyal medya yöneticileri, ajanslar, hepsi bağlantı verirken açık olmalı. Bir kaynak site gösteriliyorsa, o kaynağın adı yazılmalı. “Detaylı bilgi” ifadesi kullanılıyorsa, hangi detayın nerede olduğu belirtilmeli. Link metinleri anlaşılır olmalı. “Buraya tıklayın” kolaycılığı yüzünden insanlar bağlantının nereye gittiğini anlamadan basıyor. Sonra da “kullanıcı dikkat etsin” deniyor. Hayır, herkes kendi payına düşen sorumluluğu alacak.

Kullanıcı tarafında da öfkelenecek çok şey var. İnsanlar bazen inanılmaz aceleci davranıyor. Bir kampanya gördü diye saniyesinde karta sarılıyor. Bir çekiliş linki geldi diye form dolduruyor. Bir kurumun adını gördü diye T.C. Kimlik numarası yazıyor. O kadar kolay olmamalı. Dijital ortamda kişisel bilgi vermek, sokakta tanımadığınız birine kimliğinizi uzatmak kadar ciddi görülmeli.

Diyarbakır’daki kurumların yapması gerekenler

Vatandaşın dikkatli olması yetmez. Kurumlar kendi dijital varlıklarını düzgün yönetmezse ortalık çöplüğe döner. Maalesef birçok yerel kurum ve işletme hâlâ “bir site açtık, tamam” seviyesinde. Tamam değil. Site güncel değilse, duyurular eskiyse, SSL yapılandırması hatalıysa, sosyal medya hesaplarında resmi web sitesi bağlantısı yoksa, iletişim bilgileri tutarsızsa, kullanıcı sahte kaynakla gerçek kaynağı nasıl ayıracak?

Bir kurumun resmi blog alanı varsa, bu blog açıkça ana siteye bağlı olmalı. Blog adresi ana sayfadan erişilebilir olmalı. Yazıların altında yazar, tarih, güncelleme bilgisi, ilgili resmi duyuru bağlantısı yer almalı. Eski içerikler güncellenmeli veya arşiv olarak işaretlenmeli. 2021’de yayımlanmış bir başvuru yazısı hâlâ aramada çıkıyor ve kullanıcı onu güncel sanıyorsa, bu da bir güvenlik sorunudur. Bilgi kirliliği sadece yanlış haberle oluşmaz, eski bilginin güncelmiş gibi dolaşması da aynı derecede zararlıdır.

Yerel işletmelerin ayrıca marka adlarını arama motorlarında düzenli kontrol etmesi gerekir. Kendi adlarıyla açılmış sahte kampanya sayfaları var mı, harita kayıtlarında yanlış telefon numarası görünüyor mu, sosyal medyada taklit hesap açılmış mı, bunlar izlenmeli. “Biz küçük işletmeyiz, kim uğraşacak” demek saflık. Dolandırıcı için küçük işletme bazen daha kolay hedeftir, çünkü güvenlik önlemleri zayıftır ve müşteriler işletmeyle birebir ilişki kurduğu için daha çabuk inanır.

Vatandaş için kısa ama ciddi kontrol listesi

Aşağıdaki kontrolü alışkanlık haline getirmek, çoğu sahte bağlantıyı daha ilk dakikada ele verir. Bu listeyi uzun tutmuyorum, çünkü güvenlik önerisi dediğin uygulanabilir olmalı. İnsanların günlük hayatta gerçekten yapacağı kadar net olmalı.

  1. Adres satırındaki alan adını okuyun, harf oyunlarına, fazladan kelimelere ve garip uzantılara dikkat edin.
  2. Bir bağlantı “resmi web sitesi” diyorsa, kurumun bilinen sosyal medya hesabından veya arama motorundaki doğrulanmış kayıttan aynı adrese ulaşıp ulaşmadığını kontrol edin.
  3. “Detaylı bilgi için”, “buraya tıkla”, “hemen başvur” gibi acele ettiren ifadelerde durun ve bağlantının hedefini görmeden bilgi girmeyin.
  4. T.C. Kimlik numarası, kart bilgisi, şifre veya SMS kodu isteyen sayfalarda iki kez düşünün, gerekirse kurumu telefonla arayın.
  5. Paylaşan kişi tanıdık olsa bile bağlantıyı bağımsız doğrulayın, çünkü tanıdık hesabı ele geçirilmiş olabilir.

Bu kadar basit adımların hâlâ hayati olması sinir bozucu, ama gerçek bu. Dijital güvenlik çoğu zaman pahalı yazılımlarla değil, acele etmemekle başlar. Bir bağlantıya basmadan önce on saniye beklemek, bazen aylar sürecek bir mağduriyeti önler.

Yerel haber siteleri ve bloglar kaynak gösterirken daha dikkatli olmalı

Diyarbakır’daki yerel medya ve blog ekosisteminin önemli bir sorumluluğu var. İnsanlar yerel haber sitelerine sadece haber okumak için değil, yön bulmak için de giriyor. Bir sınav duyurusu, yol kapatma bilgisi, belediye hizmeti, kültür etkinliği, elektrik kesintisi, su arızası, burs başvurusu, işe alım ilanı veya yardım kampanyası gördüklerinde “bunun doğrusu nedir?” diye bakıyorlar.

Bu noktada kaynak gösterme disiplini zayıfsa, haber sitesi bilmeden dolandırıcının işini kolaylaştırabilir. Bir haberin içinde “detaylı bilgi için tıklayın” yazıp kaynağı belirsiz bir sayfaya yönlendirmek kabul edilemez. Haberci, okura hedefin ne olduğunu söylemelidir. “Duyurunun orijinal kaynak metni ilgili kurumun resmi duyuru sayfasında yer alıyor” gibi açık bir ifade kullanılmalıdır. Kaynak site gerçekten kurumun sayfasıysa, bağlantı doğrudan oraya gitmelidir, araya reklam, yönlendirme, kısaltılmış link veya belirsiz takip sayfası sokulmamalıdır.

Blog yazarları da aynı özeni göstermeli. Bir resmi blog yazısından alıntı yapılıyorsa, tarih belirtilmeli. Eski yazı güncelse güncelleme notu eklenmeli. “Resmi blog böyle dedi” demek yetmez, hangi blog, hangi tarih, hangi kurum, hangi bağlantı, bunlar açık olmalı. Okur aptal değil. Ama okuru sürekli tahmin yürütmeye zorlamak saygısızlık.

Sahte sitelerin kullandığı psikolojik baskı

Sahte sayfalar genellikle teknik açıdan değil, psikolojik açıdan başarılı olur. Kullanıcıyı acele ettirirler. “Son gün”, “kontenjan sınırlı”, “hemen tıkla”, “başvurunuzu kaçırmayın”, “ödemenizi tamamlayın” gibi ifadelerle düşünme süresini kısaltırlar. İnsan panikleyince adres satırını okumaz. Kampanya bitiyor sanır, fırsatı kaçırmamak için bilgilerini girer. Bu kadar basit, bu kadar aşağılık.

Diyarbakır’da özellikle yardım kampanyaları, burs duyuruları, kira desteği, sosyal yardım başvuruları, iş ilanları ve eğitim kayıtları gibi hassas başlıklar kötüye kullanılabilir. Çünkü bu konular insanların gerçek ihtiyaçlarına dokunur. İş arayan biri umutla tıklar. Öğrenci burs için form doldurur. Aile destek başvurusu sandığı sayfaya kişisel bilgilerini girer. Dolandırıcılar da tam buradan vurur. İnsanların ihtiyacını istismar ederler.

Bu yüzden bir sayfanın duygularınızı nasıl yönettiğine dikkat edin. Size düşünme fırsatı vermiyorsa, sürekli aciliyet pompalıyorsa, “şimdi ödeme yapmazsanız hakkınız yanar” diyorsa, şüphelenin. Gerçek kurumlar da son tarih koyar, evet. Ama gerçek kurumlar kimlik bilgisi, ödeme, başvuru ve iletişim süreçlerini açıkça tanımlar. Sahte sayfalar ise genellikle sizi hızlıca forma veya ödeme ekranına sürükler.

Mobil kullanıcılar daha savunmasız bırakılıyor

Diyarbakır’da birçok kişi internete ağırlıklı olarak telefondan giriyor. Bu tek başına sorun değil, fakat mobil ekranın sınırları güvenlik kontrolünü zorlaştırıyor. Adres çubuğu küçük, link önizlemesi sınırlı, sosyal medya uygulamalarının iç tarayıcıları bazen hedef adresi yeterince açık göstermiyor. Kullanıcı bir Instagram hikâyesinden bağlantıya basıyor, sayfa açılıyor, üstteki adresi doğru dürüst görmeden işlem yapıyor.

Mobilde ayrıca kopya arayüzler daha ikna edici durabiliyor. Masaüstünde fark edeceğiniz bozuk hizalama, telefonda görünmeyebilir. Sahte ödeme sayfası, küçük ekranda daha gerçekçi görünebilir. Bu yüzden telefonda işlem yaparken daha yavaş davranmak gerekir. Ödeme, başvuru veya kimlik bilgisi girilecekse mümkünse tarayıcıyı doğrudan açıp adresi elle yazmak daha güvenlidir. Bir bağlantı sosyal medya içinden açıldı diye ona mahkûm değilsiniz. Kopyalayın, kontrol edin, gerekirse kurumun web sitesi üzerinden menüleri takip ederek aynı sayfaya ulaşmaya çalışın.

Bir başka bela da link kısaltıcılar. Kısa bağlantılar bazen meşru amaçla kullanılır, özellikle karakter sınırı veya kampanya takibi için. Fakat kullanıcı açısından hedefi gizler. Yerel bir kurumun kritik bir duyuruda kısaltılmış bağlantı kullanması bence kötü pratiktir. Vatandaşın güvenliği, pazarlama raporundan önemlidir. Eğer mutlaka kullanılıyorsa, yanında açık hedef adres de yazılmalıdır.

Esnaf, klinik, kurs ve ajanslar için dijital itibar güvenliği

Diyarbakır’da pek çok küçük ve orta ölçekli işletme dijital görünürlüğünü sosyal medya üzerinden kuruyor. Instagram sayfası var, Google Haritalar kaydı var, belki bir web sitesi var, belki yok. Bu model bir yere kadar çalışır. Ama güven açısından kırılgandır. Sosyal medya hesabı çalındığında işletmenin tüm dijital vitrini bir anda saldırganın eline geçer. Web sitesi yoksa veya güncel değilse müşteri doğrulama yapamaz.

Bir klinik düşünün. Instagram’da kampanya paylaşılmış. Linke basan kullanıcı randevu formu dolduruyor. Hesap sahteyse ya da ele geçirilmişse, sağlık bilgileri dahil pek çok özel veri gider. Bir kurs merkezi düşünün. “Ön kayıt indirimi” deniyor, IBAN paylaşılıyor. Gerçek hesap mı, taklit mi? Bir restoran düşünün. Sahte rezervasyon sayfası açılmış, kapora isteniyor. İnsanlar marka adına güvenip ödeme yapıyor. Sonra işletme “bizimle ilgisi yok” açıklaması yapmak zorunda kalıyor. Peki, müşteri bunu nereden bilecekti?

İşletmelerin resmi web sitesi adreslerini sabitlemesi, sosyal medya profillerinde tek ve doğrulanabilir bağlantı kullanması, Google işletme kayıtlarını sahiplenmesi, taklit hesapları raporlaması ve müşteriye açık iletişim kanalı sunması şart. “Buraya tıklayın” yerine “randevu için yalnızca şu alan adındaki formu kullanın” demek çok daha güvenlidir. Bu disiplin marka ciddiyetidir, lüks değildir.

Okullar, dernekler ve yerel topluluklar için ayrı bir uyarı

Diyarbakır’da okul aile birlikleri, mezun grupları, dernekler, kültür sanat toplulukları ve hemşehri ağları çok aktiftir. Bu yapıların duyuruları genellikle WhatsApp gruplarında dolaşır. Tam da bu yüzden bağlantı güvenliği burada daha kritik. Bir okul kaydı, etkinlik katılım formu, bağış kampanyası veya gezi ödemesi için paylaşılan bağlantının açıkça doğrulanması gerekir.

Bir öğretmen veya yönetici iyi niyetle Google Form açabilir, sorun yok. Ama formun başında kurum adı, sorumlu kişi, iletişim bilgisi, veri kullanım amacı ve resmi doğrulama yöntemi yoksa kullanıcı tedirgin olur. Tedirgin olmakta da haklıdır. Kişisel veri toplayan herkes, küçük grup bile olsa, sorumluluk taşır. “Biz birbirimizi tanıyoruz” rahatlığı dijitalde işlemez. Link bir kez dışarı çıktı mı, kimlerin eline geçeceğini bilemezsiniz.

Dernekler için bağış konusu daha da hassas. IBAN paylaşılacaksa hesap adı açıkça yazılmalı, derneğin resmi kanallarında aynı bilgi yer almalı, eski kampanya görselleri dolaşımdan kaldırılmalı veya güncel olmadığı belirtilmeli. Bir afişe “bağış için tıklayın” yazıp belirsiz bir ödeme sayfasına yönlendirmek güven kırar. İnsanların merhametini istismar edenlere karşı en sağlam savunma şeffaflıktır.

Arama motoru sonucu her zaman güvenilir değildir

Birçok kişi hâlâ arama motorunda ilk çıkan sonucun doğru olduğunu sanıyor. Hayır. İlk sonuç reklam olabilir. Sponsorlu bağlantı olabilir. Arama motoru optimizasyonu yapılmış ama güvenilirliği zayıf bir sayfa olabilir. Hatta bazı saldırganlar, popüler başlıklar için sahte sayfaları özellikle öne çıkarmaya çalışır. “Diyarbakır burs başvurusu”, “Diyarbakır iş ilanı başvuru”, “belediye yardım formu”, “hastane randevu ödeme” gibi aramalar kötüye kullanılmaya çok müsaittir.

Arama sonucunda başlığa değil, alan adına bakmak gerekir. Reklam etiketi varsa ayrıca dikkat edilmelidir. Bir kamu hizmeti için reklamlı bir başvuru sayfası görüyorsanız hemen durun. Kamu hizmeti bilgileri çoğu zaman ilgili kurumun kendi alanında yayımlanır. Aracı sayfalar bazen sadece bilgi verir, bazen reklam toplar, bazen de riskli yönlendirme yapar. Her aracı kötü değildir, ama aracı olduğunu açıkça söylemeyen sayfa güvenilmezdir.

“Kaynak site” ifadesi burada yine önem kazanır. Bir haber veya blog yazısı size özet sunabilir. Fakat işlem yapacağınız yer, mümkünse orijinal kaynak olmalıdır. Başvuruyu, ödemeyi, kayıt işlemini, belge indirmeyi, randevuyu doğrudan yetkili kurumun sayfasından yapmaya çalışın. Aracı içerikler okunabilir, ama karar ve işlem noktası başka bir ciddiyet ister.

Kurumsal sayfalarda dil ve tasarım güven sinyali verir, ama yeterli değildir

Bir sayfanın düzgün Türkçe kullanması, güzel görünmesi, hızlı açılması ve logoları doğru yerleştirmesi güven için olumlu sinyaldir. Fakat bunlar kanıt değildir. Dolandırıcılar da düzgün tasarım yapabilir. Hatta bazen gerçek kurumun sitesini birebir kopyalayabilir. Bu yüzden tasarıma bakıp rahatlamak aptallık olur. Sert söylüyorum, çünkü başka türlü anlaşılmıyor.

Güven sinyalleri birlikte değerlendirilir. Alan adı, iletişim bilgisi, kurumsal tutarlılık, sosyal medya bağlantıları, güncel duyurular, yasal metinler, SSL, açık işlem adımları, kullanıcıyı gereksiz bilgi vermeye zorlamaması… Bunların hepsi bir araya gelince makul bir güven oluşur. Tek bir işaretle karar verilmez.

Özellikle “çok güzel yapılmış, demek ki gerçektir” yanılgısından kurtulmak gerekiyor. Sahte bir siteye birkaç saat içinde hazır tema giydirilebilir. Logo çalmak saniyelik iştir. Hakkımızda metni kopyalanır. Adres bilgisi gerçek kurumdan alınır. Telefon numarası bile bazen gerçek yazılır, ama işlem butonu sahte forma gider. Kullanıcının bakması gereken yer, sayfanın sizi nereye yönlendirdiğidir.

Şüpheli bağlantı geldiğinde ne yapmalı?

Şüpheli bir bağlantı aldığınızda kahramanlık yapıp “bir bakayım neymiş” diye açmayın. Hele iş telefonunuzda, aile grubunda, kurum ağında veya içinde kişisel hesaplarınız açıkken bunu yapmayın. Merak, saldırganların en sevdiği zaaftır.

Güvenli davranış şudur: Önce paylaşan kişiye özelden sorun, bağlantıyı bilerek mi gönderdiğini teyit edin. Sonra kurum adını arama motorunda kendiniz arayın, ama ilk sonuca körlemesine basmayın. Kurumun daha önce bildiğiniz resmi web sitesi veya doğrulanmış sosyal medya hesabı üzerinden aynı duyuru var mı kontrol edin. Eğer bağlantı sizden şifre, SMS kodu, ödeme veya kimlik bilgisi istiyorsa işlemi durdurun. Kurumu telefonla aramak gerekiyorsa arayın, ama bağlantıdaki numarayı değil, bağımsız bulduğunuz resmi numarayı kullanın.

Eğer bilgilerinizi girdiyseniz vakit kaybetmeyin. Şifre verdiyseniz hemen değiştirin. Aynı şifreyi kullandığınız başka hesaplar varsa onları da değiştirin. Kart bilgisi girdiyseniz bankayı arayın. SMS kodu paylaştıysanız ilgili hesapların güvenlik ayarlarını kontrol edin. T.C. Kimlik numarası gibi bilgiler verdiyseniz ileride adınıza işlem yapılmasına karşı dikkatli olun. Panik yapmak değil, hızlı ve düzenli hareket etmek gerekir.

Dijital güvenlik, “teknik ekip bilir” diye geçiştirilemez

Bu meseleyi sadece bilişimcilerin sorunu gibi görmek büyük hata. Bir kurumun basın birimi yanlış link paylaşırsa güvenlik sorunudur. Sosyal medya yöneticisi kısaltılmış ve belirsiz bağlantı kullanırsa güvenlik sorunudur. Muhasebe birimi müşteriye ödeme linkini açıklamasız gönderirse güvenlik sorunudur. Yerel haber editörü kaynak göstermeden yönlendirme yaparsa güvenlik sorunudur. Okul yöneticisi kişisel veri toplayan formu kontrolsüz paylaşırsa güvenlik sorunudur.

Teknik ekip alan adını, sunucuyu, sertifikayı, erişim yetkilerini yönetir. Ama dijital güven kültürünü kurumun tamamı taşır. Diyarbakır’daki kurumların buna artık ciddiyetle yaklaşması gerekiyor. “Bizim hedef olacağımızı sanmıyoruz” cümlesi dijital çağın en pahalı cümlelerinden biri. Hedef olmanız için büyük olmanız gerekmez. Savunmasız olmanız yeter.

Kullanıcı eğitimleri de göstermelik olmamalı. Bir slaytta “şüpheli linklere tıklamayın” yazıp geçmek kimseyi korumaz. Gerçek örneklerle anlatmak gerekir. Sahte alan adı nasıl görünür, resmi blog nasıl doğrulanır, kaynak site nasıl kontrol edilir, “buraya tıkla” bağlantısının hedefi nasıl görülür, mobilde link nasıl incelenir, bunlar uygulamalı gösterilmelidir. İnsanlar soyut uyarıyı unutur, yaşanmış örneği hatırlar.

Daha temiz bir dijital Diyarbakır mümkün, ama kendiliğinden olmayacak

Diyarbakır’ın dijital alanı büyüyor. Yerel markalar güçleniyor, kurumlar daha çok çevrimiçi hizmet veriyor, gençler içerik üretiyor, haberler hızla yayılıyor, etkinlikler internetten organize ediliyor. Bu iyi bir şey. Fakat güven altyapısı aynı hızda büyümezse, ortaya kalabalık ama güvensiz bir dijital pazar çıkar. Herkes bağırır, herkes link atar, herkes “tıklayın” der, ama kimse sorumluluk almaz. Böyle bir ortamda dürüst kurum da zarar görür, vatandaş da.

Resmi blog ve kaynak site ayrımını doğru yapmak, küçük bir editörlük meselesi gibi görünebilir. Değil. Bu ayrım, bilginin güvenilirliğini belirler. Bir bağlantının gerçek olup olmadığını anlamak, sadece teknik merak değildir. Bu, vatandaşın parasını, verisini, zamanını ve huzurunu koruma meselesidir. Bir kurumun kendi resmi web sitesi adresini açıkça duyurması, bir haber sitesinin orijinal kaynak bağlantısını doğru vermesi, bir işletmenin tek ve tutarlı blog adresi kullanması, bir kullanıcının “siteyi ziyaret etmeden önce adresi kontrol edeyim” demesi, hepsi aynı güven zincirinin halkalarıdır.

Artık şu kolaycılıktan vazgeçelim: “Link attım, isteyen baksın.” Hayır. Link atıyorsan nereye gittiğini yaz. “Detaylı bilgi” diyorsan bilginin kaynağını göster. “Resmi” diyorsan resmiliği kanıtlanabilir kıl. “Kaynak site” diyorsan gerçekten kaynak göster. Okur da kendine düşeni yapsın, her parlak butona basmasın, her “buraya tıklayın” çağrısına atlamasın, her tanıdık paylaşımı sorgusuz kabul etmesin.

Dijital güvenlik bazen karmaşık olabilir, ama burada konuştuğumuz temel ayrım son derece nettir. Gerçek kaynak ile taklit sayfa aynı şey değildir. Resmi blog ile rastgele blog aynı şey değildir. Açık bağlantı ile gizlenmiş yönlendirme aynı şey değildir. Bu farkları görmezden gelmenin bedelini yine sıradan kullanıcı ödüyor. Buna razı olmak zorunda değiliz. Diyarbakır’da daha güvenli bir dijital kültür istiyorsak, önce bağlantılara öfkemizi değil, dikkatimizi yönelteceğiz. Ama bu dikkati zorunlu kılan ihmalkârlığa ve dolandırıcılığa öfkelenmekte de sonuna kadar haklıyız.