Etiket: kimlik avı

Acil Gibi Gelen Her Şey: Panik Mesajlarına Karşı 90 Saniye Kuralı

Telefon titrer, ekranda kocaman bir uyarı belirir: “Hesabınız askıya alınacak”, “Kargonuz teslim edilemedi”, “Kartınızdan şüpheli işlem yapıldı”. Bu mesajların asıl numarası teknik değil, duygusaldır. Seni hacklemekten önce nefesini hacklerler. Çünkü panik halindeki insan şifreyi, kartı, kodu ve sağduyuyu aynı anda teslim edebilir.

Panik mesajları bu yüzden başarılıdır: karar süresini kısaltır, otorite taklidi yapar ve seni yalnız hissettirir. Banka gibi konuşur, kargo firması gibi görünür, devlet kapısı gibi davranır. Ama hepsinin ortak cümlesi aynıdır: “Hemen şimdi bir şey yap.”

90 saniye kuralı nedir?

Şüpheli bir mesaj geldiğinde kendine sadece 90 saniye ver. Linke dokunma, numarayı arama, uygulamaya geçme, ekrandaki butona basma. Bu kısa duraklama, dolandırıcının kurduğu acele tünelinden çıkmanı sağlar. Bir mesaj gerçekse 90 saniye beklediğin için dünya yıkılmaz. Sahteyse, o 90 saniye bütün hesabını kurtarabilir.

İlk 30 saniyede mesajın senden ne istediğini sadeleştir: para mı, şifre mi, doğrulama kodu mu, kimlik bilgisi mi, uygulama indirme mi? Kurumsal görünen bir mesaj bu beş şeyden birini istiyorsa alarm zili çalmalıdır.

İkinci 30 saniyede kaynağı kontrol et. Gönderen adı tanıdık olabilir ama bu yeterli değildir. Alan adına bak, linkin nereye gittiğini uzun basarak gör, harf oyunlarını ara: “rn” ile “m”, “0” ile “o”, tireli sahte alan adları, gereksiz uzun bağlantılar.

Son 30 saniyede bağımsız kanala geç. Bankaysa mobil uygulamayı kendin aç. Kargoysa firmanın resmi sitesine kendin gir. Devlet işlemiyse tarayıcıya adresi kendin yaz. Mesajın verdiği kapıdan değil, kendi bildiğin kapıdan içeri gir.

Dolandırıcının en sevdiği üç duygu

Korku: “Hesabınız kapatılacak.” Korku, insanı doğrulamadan işlem yapmaya iter.

Merak: “Fotoğraflarınız paylaşıldı.” Merak, en akıllı insanlara bile link açtırabilir.

Kazanç hissi: “İadeniz hazır”, “kupon kazandınız”. Bedava görünen şey bazen en pahalı tuzaktır.

Bu üç duygu mesajın içinde çok yüksek sesle konuşuyorsa, mesajın teknik kalitesine aldanma. Artık sahte metinler kötü Türkçeyle gelmek zorunda değil; yapay zeka sayesinde gayet düzgün, nazik ve kurumsal görünebilir.

Kendine mini bir güvenlik cümlesi seç

Panik anında uzun güvenlik rehberleri işe yaramaz. Kısa bir cümle gerekir: “Linkten değil, uygulamadan bakarım.” Bu cümleyi aile grubuna, iş arkadaşlarına, hatta kendine not olarak yaz. Çünkü güvenlik çoğu zaman bilgi değil, refleks meselesidir.

Bir başka iyi cümle: “Benden kod isteyen benden hesabımı ister.” Doğrulama kodu, tek kullanımlık şifre veya güvenlik kodu isteyen kişi kim olursa olsun konuşmayı bitir. Gerçek kurumlar senden telefonda ya da mesajda bu kodları istemez.

Mesajı silmek yetmez, izini de düşün

Bir linke yanlışlıkla tıkladıysan kendini suçlayıp konuyu kapatma. Hemen tarayıcı sekmesini kapat, hiçbir formu doldurma, ilgili hesabın şifresini resmi uygulama ya da site üzerinden değiştir. Aynı şifreyi başka yerde kullandıysan oralarda da değiştir. Mümkünse iki aşamalı doğrulamayı aç.

Kart bilgisi girdiysen bankayı uygulamadan veya kartın arkasındaki numaradan ara. Kimlik bilgisi paylaştıysan ileride gelebilecek yeni dolandırıcılık denemelerine karşı daha dikkatli ol; çünkü dolandırıcılar bazen ilk bilgiyi ikinci saldırı için kullanır.

En iyi savunma sakin görünmektir

Dijital güvenlikte kahramanlık çoğu zaman hiçbir şeye basmamaktır. Mesaj bağırırken sen sessiz kalırsın. Link acele ettirirken sen uygulamayı kendin açarsın. Ekran “son şans” derken sen kendine 90 saniye verirsin.

Bu küçük alışkanlık, pahalı güvenlik araçlarından daha değerli olabilir. Çünkü dolandırıcı senin cihazını değil, karar anını hedefler. Karar anını geri aldığında oyunun yarısını kazanmış olursun.

Haziran 13, 2026

QR Kod Tuzağı: Masadaki Karekod Nasıl Kimlik Avına Dönüşür?

QR kod hayatı kolaylaştırdı. Menüyü açıyor, ödeme sayfasına götürüyor, Wi-Fi bağlatıyor, kargo takip ettiriyor, etkinlik girişini hızlandırıyor. Tam da bu yüzden iyi bir tuzak haline geldi. Çünkü karekoda bakınca nereye gideceğini göremiyorsun. Telefonu çıkarıp okutuyorsun ve güven kararını ekrandaki küçük bir bağlantıya bırakıyorsun. QR kod dolandırıcılığı burada başlıyor.

Bu yazı “QR kod okutma” diye bağıran bir panik yazısı değil. QR kod pratik ve çoğu zaman güvenli. Ama her pratik şey gibi, düşünmeden kullanıldığında risk büyür. Masadaki karekod gerçek menüye de gidebilir, sahte ödeme sayfasına da. Otoparktaki etiket belediye sistemine de götürebilir, kart bilgisi çalan sayfaya da.

QR kod neden iyi bir kimlik avı aracıdır?

Çünkü bağlantıyı gizler. E-postadaki linke bakıp garip alan adını fark edebilirsin. QR kodda önce tararsın, sonra görürsün. Üstelik QR genelde fiziksel ortamda durur: masa, afiş, kargo etiketi, otopark panosu, banka broşürü. Fiziksel dünyada gördüğümüz şeye daha kolay güveniriz.

Saldırgan için de ucuzdur. Gerçek QR kodun üstüne sahte etiket yapıştırmak, sahte afiş basmak veya “kargonuz için okutun” mesajı göndermek zor değildir. Buna bazen quishing de denir: QR kodla yapılan phishing.

En sık görülen QR tuzakları

Yer	Tuzak	Risk
Restoran masası	Sahte menü veya ödeme linki	Kart bilgisi veya zararlı sayfa
Otopark	Sahte ödeme etiketi	Yanlış hesaba ödeme veya kart avı
Kargo mesajı	Takip için QR okutma	Sahte giriş sayfası
Etkinlik girişi	Sahte bilet kontrol linki	Hesap bilgisi çalma
Wi-Fi afişi	Yanlış ağa yönlendirme	Trafik izleme riski

Telefonun gösterdiği URL’ye bakmadan ilerleme

QR kodu okuttuktan sonra telefon genelde bağlantıyı gösterir. İşte karar anı orasıdır. Alan adı tanıdık mı? Garip harf değişimi var mı? Resmi kurum veya markaya benziyor ama küçük bir ekle farklı mı? Kısa link mi kullanılmış? Ödeme sayfası beklerken rastgele bir domain mi açılıyor?

Özellikle ödeme, giriş, kimlik doğrulama veya kart bilgisi isteyen sayfalarda acele etme. QR kod seni bir sayfaya götürdü diye o sayfa otomatik olarak doğru olmaz.

Fiziksel etiket kontrolü küçük ama güçlüdür

Restoran, otopark veya afişlerde QR kodun üstüne sonradan etiket yapıştırılmış mı bak. Kenarından kalkıyor mu? Renk tonu farklı mı? Aynı masadaki diğer kodlarla aynı mı? Bu dedektifçilik gibi görünebilir ama QR saldırılarının bir kısmı tam olarak bu kadar basit fiziksel hileye dayanır.

Şüphe varsa çalışan kişiye sor. “Bu QR size mi ait?” demek tuhaf değil. Kart bilgini sahte sayfaya vermekten çok daha az tuhaf.

QR ile ödeme yaparken ayrı dikkat gerekir

Menü açan QR ile ödeme isteyen QR aynı riskte değildir. Ödeme sayfası açıldığında alan adını kontrol et, HTTPS var mı bak, banka uygulamasına mı yönleniyor yoksa kart bilgilerini rastgele bir forma mı istiyor dikkat et. Mümkünse resmi uygulama içinden ödeme yap. Otopark, belediye, kargo ve etkinlik gibi işlemlerde kurumun kendi sitesine manuel girip ödeme bölümünü bulmak daha güvenlidir.

QR kod güvenliği için pratik alışkanlıklar

QR okuttuktan sonra URL’yi mutlaka kontrol et.
Kısa link ve garip alan adlarında dur.
Kart bilgisi isteyen sayfalarda iki kez düşün.
Fiziksel QR etiketinde sonradan yapıştırma izi var mı bak.
Resmi kurum işlemlerinde siteye manuel girmeyi tercih et.
Telefon kamerası yerine URL önizlemesi gösteren güvenilir tarayıcı/okuyucu kullan.
QR kodla indirilen dosyaları otomatik açma.

İş yerleri ve işletmeler için küçük önlem

QR kod kullanan işletmeler de sorumlu. Masadaki kodlar düzenli kontrol edilmeli, ödeme QR’ları kolay sökülemeyecek şekilde yerleştirilmeli, menü veya ödeme sayfasında işletme adı net görünmeli. Müşteri “bu QR doğru mu?” diye sorduğunda çalışanların net cevap verebilmesi gerekir.

QR kod tuzağı çok teknik görünür ama çoğu zaman insanın acele ve güven alışkanlığını hedefler. Çözüm de aynı yerde başlar: okut, dur, adrese bak, sonra ilerle. Üç saniyelik duraklama bazen bütün kartını kurtarır.

QR kod dolandırıcılığı hakkında kısa sorular

QR kod dolandırıcılığı nasıl anlaşılır?

Garip alan adı, kısa link, sonradan yapıştırılmış etiket, beklenmeyen ödeme formu ve kart bilgisi isteme en önemli risk işaretleridir.

QR kod okutmak tamamen güvensiz mi?

Hayır. QR kod kullanışlıdır; güvenli kullanım için açılan bağlantıyı kontrol etmek, ödeme sayfalarında dikkatli olmak ve şüpheli kodları doğrulamak gerekir.

Haziran 7, 2026

Sesini Kopyalayan Arama: AI Vishing Çağında Kime Güveneceğiz?

Telefon çalıyor. Ekranda tanıdık bir isim yok ama karşıdaki ses tanıdık. Kardeşin gibi, patronun gibi, çocuğun gibi, eski bir arkadaşın gibi konuşuyor. Acele ediyor. “Şimdi halletmem lazım” diyor. Para değilse kod istiyor, kod değilse linke basmanı istiyor. İşte AI vishing dediğimiz konu tam burada başlıyor: sesin güven verdiği yerde, yapay zekanın o güveni taklit etmesi.

Eskiden telefon dolandırıcılığında kötü oyunculuk vardı. Ses yapaydı, hikaye kabaydı, insan bazen daha ilk dakikada anlardı. Şimdi iş değişiyor. Ses klonlama araçları birkaç kısa kayıtla birinin tonunu, duraklamasını, hatta panik halini taklit edebiliyor. Bu, herkesin her gün başına gelecek demek değil. Ama “sesten tanırım” devrinin güvenlik açısından zayıfladığı kesin.

AI vishing nedir?

Vishing, telefon üzerinden yapılan kimlik avıdır. AI vishing ise bu saldırının yapay zeka ile güçlendirilmiş halidir. Saldırgan yalnızca konuşmaz; ses klonlama, otomatik metin üretimi, kişisel bilgi toplama ve acele psikolojisini bir araya getirir. Hedefin seni düşünmeden hareket ettirmektir.

Buradaki kritik nokta şu: Dolandırıcı her zaman mükemmel ses taklidi yapmak zorunda değildir. Bazen ortam gürültüsü, panik, kısa cümleler ve acele yeter. İnsan zaten endişeliyken beynin kalite kontrol bölümü biraz kapanır.

Saldırı genelde sesle değil, hikayeyle çalışır

Ses klonlama dikkat çeken taraf, ama asıl tuzak hikayedir. “Kaza yaptım”, “telefonum bozuldu”, “hesabım kilitlendi”, “toplantıdayım, hemen ödeme geç”, “sana kod gelecek, bana söyle” gibi cümleler güven ve aceleyi aynı anda kullanır. AI vishing saldırıları bu hikayeyi daha kişisel hale getirebilir; çünkü saldırgan sosyal medya, eski paylaşımlar, şirket sayfaları veya sızıntı verilerinden bağlam toplayabilir.

İşaret	Neden riskli?
Aşırı acele	Düşünmeni engeller
Kod isteme	Hesap ele geçirme denemesi olabilir
Para veya hediye kartı isteme	Geri dönüşü zor ödeme yöntemlerine iter
Gizlilik baskısı	Başkasına sormanı engeller
Numaranın farklı olması	Kimlik doğrulama zayıflar

Aile içi güvenlik kelimesi eski değil, şimdi daha değerli

Bu konuya karşı en basit savunmalardan biri aile içi doğrulama cümlesidir. Çok gizemli bir parola olmak zorunda değil. Sadece dışarıdan tahmin edilmesi zor, aile içinde bilinen kısa bir soru-cevap yeter. “Mavi defter nerede durur?” gibi. Ama bunu sosyal medyada paylaşılan bir anıdan seçme. Doğum günü, evcil hayvan adı, okul adı gibi tahmin edilebilir şeyler zayıftır.

Önemli kural şu: Acil durumda para, kod veya hassas bilgi istenirse ikinci kanaldan doğrula. Arayan kişi “benim, sesimden tanı” diyorsa bile kapatıp kayıtlı numaradan geri ara. Bu kabalık değil, yeni dijital nezaket.

İş yerinde ses yetki sayılmamalı

Patron sesiyle gelen ödeme talimatı, yönetici sesiyle gelen şifre isteği, teknik ekip sesiyle gelen bağlantı talebi… Bunların hiçbiri tek başına yetki olmamalı. Ekiplerde kural basit olmalı: Para, erişim, kod, müşteri verisi ve hesap kurtarma işlemleri telefondaki sese bakılarak yapılmaz.

Ödeme talimatı için yazılı onay ve ikinci kişi kontrolü kullan.
Telefonla gelen kod istemlerini otomatik reddet.
Toplantı veya konferans aramasında sıra dışı talep gelirse ayrı kanaldan doğrula.
Yetki işlemleri için kayıtlı prosedür dışına çıkma.
“Acil” kelimesini güvenlik kısayolu değil, risk işareti say.

Panik anı için üç cümlelik protokol

AI vishing saldırısında uzun güvenlik eğitimi akla gelmez. O yüzden herkesin ezberleyeceği üç cümle yeter:

“Şimdi kapatıp seni kayıtlı numarandan arayacağım.”
“Kod, şifre veya para işlemini telefonda yapmam.”
“Bunu ikinci bir kişiye doğrulatmadan ilerlemem.”

Bu cümleler kaba görünüyorsa şunu hatırla: Gerçek yakınların güvenlik refleksine kızmaz. Dolandırıcı kızar. Zaten ayırt etmenin yollarından biri de budur.

Sesini internette daha az açıkta bırak

Herkes ses kaydını tamamen saklayamaz. Video, podcast, toplantı, story, canlı yayın derken sesimiz ortalıkta. Ama gereksiz uzun ve temiz ses örneklerini sınırsız paylaşmamak mantıklı. Özellikle çocukların, aile bireylerinin ve iş rolü yüksek kişilerin seslerini herkese açık şekilde dağıtırken iki kez düşünmek gerekir.

Kısa AI vishing kontrol listesi

Aile içinde doğrulama sorusu belirle.
Para ve kod isteklerinde kapatıp kayıtlı numaradan geri ara.
İş yerinde sesli talimatı tek başına onay sayma.
Telefonla gelen linklere basma; adresi kendin yaz.
Acele ve gizlilik baskısını risk işareti kabul et.
Yaşlı aile bireylerine “kapatıp geri ara” refleksini öğret.

AI vishing insanın en eski güven mekanizmasını hedefliyor: tanıdık ses. Buna karşı en iyi savunma paranoya değil, prosedür. Güvendiğin insanı daha az sevmiyorsun; sadece onu taklit edebilecek dünyaya karşı akıllı davranıyorsun.

AI vishing hakkında kısa sorular

AI vishing nasıl anlaşılır?

Acele baskısı, kod veya para isteme, farklı numara kullanma ve başkasına sormamanı söyleme en güçlü risk işaretleridir.

Ses klonlama dolandırıcılığına karşı en pratik önlem nedir?

Aramayı kapatıp kişiyi kayıtlı numarasından geri aramak, aile içi doğrulama sorusu kullanmak ve telefonda kod/şifre paylaşmamak en pratik önlemlerdir.