MODÜL 2 — Manipülasyon Nasıl Çalışır? (Psikoloji -- Pratik Düzey)

Modül Teması

Bu modül, sosyal mühendisliğin "motoru" sayılan insan psikolojisini ve karar verme süreçlerimizi inceler. Saldırganın teknik bir araca geçmeden önce, hedef kişinin zihninde nasıl bir "arka kapı" açtığını; hangi ikna tetikleyicilerini ve duygusal tuzakları kullandığını; güveni adım adım nasıl inşa ettiğini öğreneceksiniz. Önceki modülde tanıdığınız aciliyet (urgency), otorite (authority) ve toplumsal kanıt (social proof) gibi kavramların neden etkili olduğunu burada mekanizma düzeyinde görürsünüz. Bir sonraki modülde e-posta ve link temelli saldırılara (phishing) geçerken, mesajların neden "ikna edici" göründüğünü daha kolay analiz edebilirsiniz.

1) Manipülasyonun Temeli: "Tetikleyici" Nedir?

1.1. Tetikleyici (trigger) kavramı

Kısa tanım: Tetikleyici (trigger), kişinin karar verme sürecini hızlandıran veya yönlendiren; çoğu zaman duyguya ya da sosyal kurallara dokunan "itme gücü"dür.

Neden önemli? Sosyal mühendislik çoğu zaman "bilgi eksikliği" değil, "karar anı" problemidir. Tetikleyici, sizin normalde uygulayacağınız kontrol adımlarını (sorgulama, teyit, duraklama) atlatmayı hedefler. Önceki modülde "insan faktörü" üzerinden gördüğünüz acele, stres ve dikkat dağınıklığı gibi durumlar; tetikleyicilerin daha güçlü işlemesine zemin hazırlar.

örnek: "Hemen işlem yapmanız gerekiyor" ifadesi, düşünme sürenizi kısaltır ve hızlı aksiyona iter.

Gerçek hayatta nerede görülür?

• "Son 10 dakika" kampanyaları

• "Hesabınız askıya alınacak" uyarıları

• "Yönetici talimatı" gibi otoriteye dayalı istekler

İpucu: Tetikleyiciler çoğu zaman tek başına gelmez. Genellikle bir "kurgu/rol (pretext)" ile paketlenir. Önceki modülde öğrendiğiniz pretext, tetikleyicilerin "mantıklı görünmesini" sağlar.

2) En Sık Kullanılan 6 İkna İlkesi (Cialdini Çerçevesi)

Sosyal mühendislik saldırıları rastgele değildir. Saldırganlar, insanların sık kullandığı karar verme kestirmelerini (bazen "bilişsel önyargılar"ın da etkisiyle) hedefler ve ikna ilkelerini bir araç kutusu gibi kullanır.

Dikkat:
Beyin açısından bakış (basit düzey): Yoğun duygu altında, mantıklı değerlendirmeden sorumlu süreçler zayıflayabilir (prefrontal cortex), hızlı tepki/duygu odaklı süreçler baskınlaşabilir (limbic system). Sonuç: Kişi "kontrol etmeden" aksiyona daha yatkın hale gelir.

2.1. Otorite (Authority)

Kısa tanım: Otorite, "yetkili" veya "uzman" görünen bir kişinin talebine daha az sorgulayarak uyma eğilimidir.

Neden önemli? Otorite karşısında "hayır demek" zorlaşabilir; kişi yanlış yapmaktan veya cezalandırılmaktan çekinebilir.

örnek: "Ben denetimden arıyorum; hızlıca sistem kayıtlarını görmem lazım."

Gerçek hayatta nerede görülür?

• Kurumsal telefon aramaları, resmî unvan kullanan kişiler

• "Yönetici" gibi görünen e-postalar

• Üniforma/uzman diliyle gelen yüz yüze talepler

Saldırı örneği (kavramsal): "192.0.2.15 IP adresli sunucuya erişim yetkinizi geçici olarak bana devredin." Bu tür bir talep; hem otoriteye hem aciliyete bağlanarak "normal prosedürü" bypass etmeye çalışabilir.

2.2. Aciliyet (Urgency) ve Kıtlık (Scarcity)

Kısa tanım:

• Aciliyet (urgency): Zaman baskısı ile hızlı karar verdirmeye zorlama.

• Kıtlık (scarcity): Fırsatın sınırlı olduğu algısıyla tepki hızını artırma.

Neden önemli? Zaman baskısı "Dur-Düşün-Doğrula" gibi güvenlik reflekslerini devre dışı bırakır. Kıtlık ise "kaçırma korkusu" ile riski görmezden getirebilir.

örnek: "3 dakika içinde onaylamazsanız erişiminiz kalıcı engellenecek: example.org/onayla"

Gerçek hayatta nerede görülür?

• "Son saat" kampanyaları

• "Hesabınız kapanıyor" uyarıları

• Hızlı onay istenen süreçler

2.3. Toplumsal Kanıt (Social proof)

Kısa tanım: "Herkes yapıyorsa doğrudur" varsayımıyla ikna.

Neden önemli? Belirsizlikte insanlar çevreye bakar. Saldırgan, çoğunluk algısıyla bireysel şüpheciliği bastırmaya çalışır.

örnek: "Şu ana kadar 50.000 kişi bu eklentiyi kurdu."

Gerçek hayatta nerede görülür?

• Sahte yazılım indirme sayfaları

• "Herkes doldurdu" temalı duyurular

• Grup sohbetlerinde hızla paylaşılan linkler

2.4. Beğeni / Yakınlık (Liking)

Kısa tanım: Sempatik, tanıdık veya bize benzeyen kişiye daha kolay "evet" deme eğilimi.

Neden önemli? Güven çoğu zaman beğeniyle başlar. Yakınlık oluştuğunda, kişi "risk kontrolünü" gevşetebilir. Bir sonraki modülde e-posta ve link örneklerinde, "samimi dil"in bile nasıl bir araç olabileceğini göreceksiniz; takip eden modüllerde telefon temelli saldırılarda (vishing) ses tonunun sıcaklığı da benzer şekilde işlev görebilir.

örnek: "Ben de senin ilgilendiğin hobiyle ilgileniyorum, bir şey danışabilir miyim?"

Gerçek hayatta nerede görülür?

• Sosyal medya DM'leri

• Grup sohbetleri

• Etkinliklerde yüz yüze iletişim

2.5. Karşılıklılık (Reciprocity)

Kısa tanım: Biri bize bir iyilik yaptığında karşılık verme eğilimi.

Neden önemli? "Borçlu kalma" rahatsızlığı, güvenlik bariyerlerini aşmaya neden olabilir.

örnek: Önce "ücretsiz rapor/kupon" gönderip günler sonra "şu dosyayı açıp ekran görüntüsü atar mısın?" istemek.

Gerçek hayatta nerede görülür?

• "Sana yardımcı oldum, şimdi sen..." talepleri

• Ücretsiz hediye/yarar vaatleri

• Yardım bahanesiyle bilgi isteme

2.6. Bağlılık ve Tutarlılık (Commitment & Consistency)

Kısa tanım: Kişi bir kez küçük bir adım attığında, aynı yönde devam etmeye eğilimlidir.

Neden önemli? İnsanlar "tutarlı görünmek" ister. Küçük bir katılım, daha büyük taleplere psikolojik zemin hazırlar.

örnek: Önce basit bir ankete katılım alıp sonra "katıldığınız için şu formu da doldurun" diyerek kapsamı büyütmek.

Gerçek hayatta nerede görülür?

• Mini anketler, küçük onaylar

• "Daha önce kabul ettiniz" referansıyla gelen talepler

• Adım adım büyüyen bilgi istekleri

3) Duygusal Tuzaklar: Mantığı Susturmanın En Kısa Yolu

Saldırganlar, mantıklı değerlendirme yerine hızlı tepki doğurmak için duyguları "yem" gibi kullanır. Bu, önceki modülde konuştuğunuz sosyal mühendisliğin temel amaçlarına (bilgi hırsızlığı, işlem yaptırma, yetkisiz erişim, finansal kayıp) giden yolu hızlandırır.

3.1. Korku ve panik

Kısa tanım: Tehdit algısı yaratıp "hemen çözmeliyim" refleksi üretme.

Neden önemli? Panikte kişi ayrıntıları kaçırır; kontrol adımlarını atlar.

örnek: "Hesabınız ele geçirildi, hemen doğrulayın."

Gerçek hayatta nerede görülür?

• Hesap askıya alma uyarıları

• "Şüpheli harcama" mesajları

• "Cihazınız virüslü" temalı bildirimler

Ek örnek (dikkat geliştirme): Panik anında kişi, alan adındaki küçük farkı fark edemeyebilir: example.com yerine exampIe.com (küçük "l" yerine büyük "I" gibi görsel benzerlik). Bu tür ayrıntıları bir sonraki modülde link ve e-posta örneklerinde daha sistematik ele alacaksınız.

3.2. Merak tuzağı

Kısa tanım: "Bir bakayım" refleksini tetikleme.

Neden önemli? Merak, risk değerlendirmesini azaltır.

örnek: "Sana ait bir belge var: example.org/belge"

Gerçek hayatta nerede görülür?

• E-posta ekleri ("belge/fatura/fotoğraf")

• DM'de link paylaşımı

• Merak uyandıran başlıklar

Somutlaştırma örneği: Ortak ağa "2026 Yılı Personel Maaş Zam Listesi.pdf" gibi bir dosya bırakılması; birçok kişinin merakla açmasına yol açabilir.

3.3. Suçluluk ve yardımseverlik

Kısa tanım: "Yardım etmezsem kötü olur" duygusunu kullanma.

Neden önemli? Sosyal ilişkileri koruma isteği, sorgulamayı azaltabilir.

örnek: "Çok acil, mağdur olacağım; sadece şu kodu söyle."

Gerçek hayatta nerede görülür?

• "Acil yardım" talepleri

• Yakın arkadaş/çalışan taklidi

• Grup baskısı

İleri bağlantı: Bu duygu, fiziksel sosyal mühendislikte de kritik olabilir. Örneğin "Giriş kartımı unuttum, kapıyı açar mısınız?" gibi bir talep, ileriki modüllerde göreceğiniz tailgating (peşine takılma) saldırısının psikolojik zeminini oluşturur.

3.4. Ödül ve kazanç beklentisi

Kısa tanım: "Bedava/ödül" vaadiyle protokolleri unutturma.

Neden önemli? Kazanç beklentisi, risk işaretlerini görmezden getirebilir.

örnek: "Ankete katıldığınız için 500 TL hediye çeki kazandınız."

Gerçek hayatta nerede görülür?

• Sahte çekilişler

• Ücretsiz hizmet vaatleri

• "Sadece sana özel" kampanyalar

4) İlişki Kurma, Mikro-Evetler ve Sınır Yoklama

Sosyal mühendislik çoğu zaman tek hamle değildir; "maraton" gibi adım adım ilerleyebilir. Bu bölüm, saldırganın güveni nasıl kademeli artırdığını gösterir. Önceki modülde öğrendiğiniz "pretext (kurgu/rol)" burada pratik olarak anlam kazanır: Kurgu ne kadar tutarlıysa, adımlar o kadar doğal görünür.

4.1. Small talk ve güven kurma

Kısa tanım: Small talk, gündelik sohbetle rahatlık ve yakınlık kurma yöntemidir.

Neden önemli? Savunma refleksi genellikle "yabancı/tehdit" algısıyla yükselir. Saldırgan, konuşmayı normalleştirerek bu refleksi düşürmeye çalışır.

örnek: Trafik/hava durumu/ortak bir konu üzerinden sohbet açıp sonra konuya geçmek.

Gerçek hayatta nerede görülür?

• Telefon görüşmeleri

• Yüz yüze etkileşim

• DM konuşmaları

4.2. Mikro-evetler (micro-yes): adım adım ikna

Kısa tanım: Büyük talep öncesi, reddi zor küçük taleplerle "evet zinciri" kurma.

Neden önemli? Kişi birkaç kez "evet" dediğinde, tutarlılık ihtiyacı artar ve sonraki talebi reddetmek zorlaşabilir (bağlılık ve tutarlılık ilkesiyle ilişkilidir).

Basit örnek akışı:

1. — "Vaktiniz var mı?"
2. — "Bilgisayar başında mısınız?"
3. — "Ekranda bir uyarı görüyor musunuz?"
4. — "O zaman şu kodu girer misiniz?"

Gerçek hayatta nerede görülür?

• Vishing görüşmeleri
• DM konuşmaları
• "Kontrol ediyoruz" temalı kurumsal taklitler

4.3. Küçük taleple başlayıp büyütme (Foot-in-the-Door) ve sınır yoklama (boundary testing)

Bu iki yaklaşım pratikte sık iç içe geçer:

• Foot-in-the-door: Küçük bir isteği kabul ettirip daha büyüğüne zemin hazırlama.
• Sınır yoklama: Kuralları/tepkileri küçük ihlallerle test edip "ne kadar ileri gidebilirim?" sorusuna cevap arama.

Örnek:
Önce: "Sadece departman adını söyle."
Sonra: "Şu onay kodu da gerekli."
En riskli aşama: "Şu linkten giriş yapıp onayla."

Gerçek hayatta nerede görülür?

• "Bir kerelik istisna" talepleri
• "Herkes böyle yapıyor" baskısı (toplumsal kanıt)
• "Zaten acil" gerekçesi (aciliyet)

İpucu: Kurallar genellikle "istisna" ile delinir. Bu yüzden kurumlar "geri arama kuralı" gibi net protokoller tanımlar. Bu protokolleri savunma odaklı modüllerde daha sistematik işleyeceksiniz.

5) Karar Anını Yönetmek: Dur-Düşün-Doğrula

5.1. Dur-Düşün-Doğrula yaklaşımı

Kısa tanım: Tetikleyici içeren bir istekte hemen hareket etmek yerine kısa bir duraklama ve doğrulama rutini uygulamaktır.

Neden önemli? Tetikleyicilerin ortak hedefi, düşünme süresini azaltmaktır. Siz süreci bilinçli olarak yavaşlattığınızda, manipülasyonun etkisi düşer.

örnek: "Hemen tıkla" dendiğinde tıklamak yerine, "Bu isteği bağımsız bir kanaldan doğrulayabilir miyim?" diye sormak.

Gerçek hayatta nerede görülür?

• Şüpheli e-postada farklı kanaldan teyit
• Telefonla gelen talepte resmi numaraya geri dönüş
• DM'de linke basmadan önce doğrulama

Bir sonraki modüle köprü: Bu rutin, phishing örneklerinde (e-posta/link) "kırmızı bayrak" yakalamanın temel davranışıdır; bir sonraki modülde pratik örneklerle somutlaşacaktır.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Sosyal mühendisliğin “neden işe yaradığını” tetikleyiciler ve karar anı üzerinden açıklayabildik; önceki modüldeki aciliyet/otorite/toplumsal kanıt kavramlarıyla güçlü bağ kurduk.
• Cialdini çerçevesinde 6 ikna ilkesini (otorite, aciliyet/kıtlık, toplumsal kanıt, beğeni, karşılıklılık, bağlılık-tutarlılık) sosyal mühendislik örüntülerine bağladık.
• Korku, merak, suçluluk ve ödül beklentisi gibi duygusal tuzakların mantıklı değerlendirmeyi nasıl zayıflatabileceğini kavradık.
• Güvenin small talk ve ortak payda ile nasıl kurulduğunu; mikro-evetler, foot-in-the-door ve sınır yoklama ile taleplerin nasıl büyütülebildiğini analiz ettik.
• Karar verme sürecini güvenli hale getirmek için Dur–Düşün–Doğrula yaklaşımını çekirdek bir alışkanlık olarak konumlandırdık ve bir sonraki modüldeki phishing çalışmalarına hazırlık yaptık.

MODÜL 3 — Dijital Kanallar: Phishing (E-posta / Link / Dosya)

Modül Teması

Bu modül, sosyal mühendisliğin dijital dünyadaki en yaygın ve etkili biçimi olan phishing (oltalama) saldırılarını başlangıç seviyesinde, pratik odaklı biçimde ele alır. Modül 1'de kurulan "insan faktörü" çerçevesi burada somutlaşır: Saldırgan teknik bir zafiyetten önce, hedef kişinin karar mekanizmasında bir "arka kapı" açmayı amaçlar. Modül 2'de öğrendiğiniz otorite, aciliyet, kıtlık, toplumsal kanıt gibi tetikleyicilerin phishing mesajlarında nasıl "ikna ambalajı" olarak kullanıldığını; link ve ek dosyaların nasıl tuzaklandığını göreceksiniz. Ayrıca "kırmızı bayrak" yaklaşımıyla e-posta ve dijital iletileri analitik gözle okumayı, Dur-Düşün-Doğrula rutiniyle güvenli karar vermeyi alışkanlığa dönüştüreceksiniz. Bir sonraki modülde telefon/SMS ve mesajlaşma uygulamalarındaki (vishing-smishing-DM) saldırılara geçerken, burada kurduğunuz kontrol reflekslerinin aynı mantıkla farklı kanallara uyarlanabildiğini net biçimde fark edeceksiniz.

1) Phishing Nedir ve Neden Bu Kadar Yaygındır?

1.1. Phishing (oltalama) tanımı

Kısa tanım: Phishing, saldırganın çoğunlukla e-posta (bazı durumlarda mesaj/DM) kullanarak hedefi kandırıp linke tıklatmayı, kimlik bilgisi girdirmeyi, para transferi yaptırmayı veya zararlı bir dosya açtırmayı amaçladığı sosyal mühendislik yöntemidir.

Neden önemli? Phishing'in gücü çoğu zaman "ileri teknik" olmaktan değil, günlük iş akışına benzemesinden gelir. Modül 2'de ele aldığınız tetikleyiciler (özellikle aciliyet, otorite, korku ve ödül) burada eylemi hızlandırmak için devreye girer. En iyi güvenlik yazılımları bile, kullanıcı "yanlış linke tıklayıp doğru sandığı sayfaya şifre girerse" zorlanabilir. Bu nedenle phishing, hem bireysel hem kurumsal güvenliğin temel risklerinden biridir.

örnek: "Hesabınızda olağan dışı hareket tespit edildi; hemen doğrulayın" diyen bir e-posta, sizi gerçekmiş gibi görünen bir giriş sayfasına yönlendirir ve şifre ister.

Gerçek hayatta nerede görülür?

• "Fatura / teslimat / bildirim" temalı e-postalar
• "Hesabınız askıya alındı" gibi güvenlik uyarıları
• "Şifre sıfırlama" veya "doğrulama" adı altında yönlendiren iletiler

İpucu: Phishing'i bir balıkçılık gibi düşünün: Saldırgan "yem" hazırlar; ya çok geniş kitleye ağ atar ya da tek bir hedefe özel olta hazırlar. Bu benzetme, bir sonraki bölümde türleri ayırt etmeyi kolaylaştırır.

1.2. Phishing türleri (temel çerçeve)

1.2.1. Genel phishing (kitlelere yönelik oltalama)

Kısa tanım: Çok sayıda kişiye aynı içerik gönderilerek "kim takılırsa" mantığıyla yürütülen oltalama.

Neden önemli? Düşük çaba-yüksek hacim yaklaşımıyla yapılır; çok sık görülür. Binlerce kişiden küçük bir kısmının hata yapması bile saldırgan için yeterli olabilir.

örnek: "Sayın kullanıcı, hesabınızda olağan dışı hareket tespit edildi. Bilgilerinizi example.com/login adresinden güncelleyin." gibi genel hitaplı e-posta.

Gerçek hayatta nerede görülür? Kampanya dönemleri, yoğun alışveriş dönemleri, gündemin hızlı aktığı zamanlar.

1.2.2. Spear phishing (hedefli oltalama)

Kısa tanım: Belirli bir kişiyi veya küçük bir grubu hedefleyen, daha kişisel ve inandırıcı görünen oltalama.

Neden önemli? Mesaj, hedefin rolüne/ilgi alanına göre kurgulanırsa başarı oranı artar. Bu, Modül 2'deki "beğeni/yakınlık" ve "toplumsal kanıt" tetikleyicilerinin sık kullanıldığı bir alandır.

örnek: Yeni mezun bir yazılımcıya "Mezunlar için iş fırsatı" başlıklı, hedefin ilgi duyduğu teknoloji alanlarına atıf yapan bir e-posta gönderilmesi.

Gerçek hayatta nerede görülür? Kurum içi yazışma taklitleri, proje/ekip iletişimi gibi görünen e-postalar.

1.2.3 Whaling (üst düzey hedefleme)

Kısa tanım: Üst düzey rolleri (genel müdür, direktör, üst yönetim gibi) hedefleyen oltalama yaklaşımı.

Neden önemli? Bu rollerdeki kişilerin onayıyla kritik kararlar (para transferi, erişim yetkisi, sözleşme vb.) hızla alınabildiği için saldırgan "büyük balık" hedefler.

örnek: "Bugün acil ödeme onayı" gibi bir e-postayla üst düzey bir yönetici üzerinden finansal işlem başlatmaya çalışmak.

Gerçek hayatta nerede görülür? Kurumsal ödeme/tedarik süreçleri, onay mekanizmaları.

1.2.4 BEC (Business Email Compromise) - kurumsal süreç odaklı yaklaşım

Kısa tanım: Şirket içi yazışma trafiğini taklit ederek (veya bir yetkiliyi taklit ediyor gibi görünerek) finans departmanını sahte ödeme/fatura talimatlarına yönlendirme girişimi.

Neden önemli? Hedef çoğunlukla doğrudan finansal kayıptır. Saldırgan "iş dili" ve "normal süreç" görüntüsüyle şüpheyi azaltmaya çalışır. Modül 2'deki "otorite" ve "aciliyet" burada tipik olarak birlikte görülür.

örnek: "Yeni IBAN'a ödeme geçilmesi gerekiyor, acil" gibi bir talimat e-postası.

Gerçek hayatta nerede görülür? Fatura ödeme süreçleri, tedarikçi hesap değişiklikleri, acil ödeme onayları.

2) Phishing Mesajını Ele Veren İşaretler (Kırmızı Bayraklar)

Bu bölüm modülün omurgasıdır. Amaç tek bir işarete bakıp hüküm vermek değil; küçük işaretleri bir araya getirerek sağlıklı şüphe üretmektir. Modül 2'deki tetikleyiciler, tam da bu kontrol adımlarını atlatmak için kullanılır.

2.1. Konu satırı ve "duygu yükü" (aciliyet-tehdit-ödül dili)

Kısa tanım: Konu satırı ve ilk cümleler, duyguyu tetikleyerek hızlı karar aldırmayı amaçlayabilir.

Neden önemli? Korku, panik veya aşırı heyecan, analitik düşünmeyi zayıflatır. Bu, Modül 2'deki "korku/panik" ve "ödül beklentisi" tuzaklarının dijital karşılığıdır.

Örnek:
— "Hemen tıklamazsanız hesabınız kapatılacak!"
— "Son 1 saat! Ödül kazandınız!"
— "Belgeniz hazır, görüntülemek için tıklayın!"

# Mesajları kırmızı bayrak sinyallerine göre puanla
analyst@awareness:~/cases/SE-2026-031$ python message_triage.py inbox_samples.json
msg_102  urgency=true  threat_lang=true   external_link=true  score=88  risk=high
msg_117  urgency=false promo_lang=true    external_link=false score=24  risk=low

# Yüksek riskli mesaj için kullanıcı aksiyonu önerisi
analyst@awareness:~/cases/SE-2026-031$ python response_hint.py --id msg_102
action_1="do not click / do not reply"
action_2="verify via official channel"
action_3="report to security channel"

Gerçek hayatta nerede görülür? Abonelik, kargo, güvenlik bildirimi, kampanya/çekiliş temalı e-postalar.

Dikkat: "Acil" kelimesi tek başına kesin kanıt değildir. Kırmızı bayrak; aciliyetin sizden "prosedür dışı" bir davranış istemesiyle oluşur (ör. linke tıkla, şifre gir, ödeme yap).

2.2. Gönderen adı vs. gönderici adresi (en kritik temel kontrol)

Kısa tanım: E-posta istemcileri çoğu zaman "gönderen adı"nı öne çıkarır; asıl önemli olan gerçek gönderici adresidir.

Neden önemli? Görünen ad (display name) kolay taklit edilebilir. Saldırgan otorite veya yakınlık algısı oluşturabilir; ancak adresin alan adı (domain) beklenmedik olabilir.

örnek: Gönderen adı: "Destek Ekibi" Gönderici adresi: <support@example.net> (beklenmeyen alan adı)

Gerçek hayatta nerede görülür?

• "Muhasebe", "IT Destek", "İnsan Kaynakları" gibi genel isimlerle gelen e-postalar
• Tanıdık görünen isim ama alışılmadık alan adı

İpucu: Her zaman @ işaretinden sonraki kısmı (alan adını) kontrol edin. Saldırganlar, gerçeğe benzeyen alan adları türetebilir (ör. example.com yerine example-destek.com gibi). Bu tür benzerlikler, bir sonraki bölümde link/alan adı kontrolüyle birlikte değerlendirilmelidir.

2.3. Yazım-üslup tutarsızlığı ve "normal dışı istek"

Kısa tanım: Mesajın dili, imlası, üslubu veya talep ettiği işlem "normal iş akışına" uymuyorsa şüphe artar.

Neden önemli? Profesyonel kurumlar genellikle metinlerini denetler; saldırgan ise taklit etmeye çalışırken ayrıntılarda hata yapabilir. Ayrıca saldırganın amacı çoğu zaman "normalde yapılmaması gereken" bir şeyi size yaptırmaktır.

örnek: "Sayın kullanıcı, hesabınız kesinlikle kapatılacaktır, derhal giriş yapın."

Gerçek hayatta nerede görülür?

• Bozuk Türkçe / imla hataları
• Aşırı tehditkâr dil veya aşırı baskı
• "Şifreyi gönder", "MFA kodunu yaz" gibi doğrudan ve alışılmadık talepler
• "Kimseye söyleme" gibi gizlilik baskısı (Modül 2'deki manipülasyon kalıplarıyla ilişkilidir)

3) Teknik Tuzaklar: Linkler ve Dosyalar

Phishing'in nihai hedefi genellikle tek bir eylemdir: linke tıklatmak veya dosya açtırmak. Saldırgan, Modül 2'deki tetikleyicilerle sizi bu eyleme "hızla" taşımaya çalışır.

3.1. Link (bağlantı) manipülasyonu

3.1.1. Görünen link yazısı ile gerçek hedefin farklı olması

Kısa tanım: Bir linkin üzerinde yazan metin (ör. "Güvenli giriş") ile tıklanınca gidilen adres farklı olabilir.

Neden önemli? Kullanıcı, metne güvenip tıklayabilir; ancak hedef sahte bir giriş sayfası olabilir. Hedef bazen alan adı yerine doğrudan bir IP adresi de olabilir.

örnek: Metinde "[www.example.com/guvenli-giris](https://www.example.com/guvenli-giris)" yazıyor gibi görünür; fakat tıklandığında 192.0.2.10 adresine yönlendirir.

Gerçek hayatta nerede görülür? "Hesap doğrulama", "şifre sıfırlama", "fatura görüntüleme" linklerinde.

3.1.2. Hover testi (tıklamadan önce kontrol)

Kısa tanım: Linke tıklamadan önce fareyi linkin üzerinde bekleterek gerçek hedef adresin görünmesini sağlama.

Neden önemli? Bu basit alışkanlık, görünürde masum ama arka planda farklı hedefe giden linkleri yakalamada çok etkilidir.

örnek: "Buraya tıklayın" yazısının arkasına gizlenmiş bir URL, hover ile görülebilir.

Gerçek hayatta nerede görülür? E-posta istemcilerinde veya tarayıcıda, link üzerine gelince alt kısımda/ön izleme alanında adresin belirmesi.

İpucu: Hover testi tek başına "güvenlidir" kararı verdirmez; ama "şüphe var mı?" sorusuna hızlı bir veri sağlar. Şüphe varsa bir sonraki adım, kanal değiştirerek doğrulamadır.

3.1.3. Görsel benzerlik ve karakter oyunları (homograph/typosquatting mantığı)

Kısa tanım: Alan adları, benzer görünen karakterlerle (veya küçük yazım farklarıyla) gerçek siteye benzetilebilir.

Neden önemli? Özellikle korku/panik anında göz küçük farkları kaçırabilir (Modül 2'deki duygusal tuzaklarla ilişkilidir).

örnek: example.com yerine exampIe.com (görsel benzerlik)

Gerçek hayatta nerede görülür? Sahte giriş sayfaları, sahte kampanya/ödül siteleri.

Dikkat: Bu modülde amaç "alan adı adli analizi" yapmak değil; bu tür işaretleri fark edip doğrulama rutinini başlatmaktır.

3.2. Ek dosyası riskleri (sadece .exe değildir)

Kısa tanım: Ek dosyaları, zararlı yazılım taşıyabilir; tehlike yalnızca "çalıştırılabilir dosyalarla" sınırlı değildir.

Neden önemli? Saldırgan, "belge/fatura/rapor" gibi masum görünen eklerle sizi açmaya yöneltir. Açılan dosya, bir zararlı içeriği tetikleyebilir veya başka bir indirime yönlendirebilir.

örnek (senaryo): "Aylık Gider Raporu.pdf" adlı bir dosya, görünürde belge gibi dursa da aslında zararlı bir bileşenin (payload) taşınmasına hizmet edebilir.

Gerçek hayatta nerede görülür?

• Fatura/teslimat belgeleri
• CV/iş başvurusu ekleri
• "Rapor", "liste", "doküman" adıyla gelen beklenmedik dosyalar

Riskli örnek türler (başlangıç seviyesi farkındalık):

• Arşiv/kalıp dosyalar: .zip, .iso
• Belge türleri: .pdf (her zaman zararlı değildir; risk "beklenmedik/şüpheli bağlam" ile artar)
• Ofis belgeleri: makro içerebilen .docx, .xlsx (makro etkinleştirme isteniyorsa şüphe artar)

İpucu: Eki açmadan önce iki soru: (1) "Bu e-postayı gerçekten bekliyor muydum?" (2) "Bu dosyayı bu şekilde istemeleri normal mi?" Bu sorular, Modül 2'deki "mikro-evetler" ve "sınır yoklama" mantığına karşı da koruyucudur.

4) Güvenli Kontrol Rutini: Dur-Düşün-Doğrula

Bu rutin, Modül 2'deki "karar anını yavaşlatma" yaklaşımının phishing'e uyarlanmış halidir.

4.1. Dur: Otomatik tepkiyi durdur

Kısa tanım: Mesaj "hemen tıkla/yanıtla" diyorsa ilk iş durmaktır.

Neden önemli? Saldırganın hedefi hızdır. Siz durduğunuz anda tetikleyicinin etkisi azalır.

örnek: "Son 3 dakika" diyen e-postada linke tıklamak yerine kısa bir duraklama ve kontrol listesi.

Gerçek hayatta nerede görülür? Hesap uyarıları, kampanya/ödül mesajları, "acil onay" talepleri.

4.2. Düşün: "Bu normal mi?" kontrol soruları

Aşağıdaki sorular kırmızı bayrakları sistematik hale getirir:

• Bu e-posta/mesajı gerçekten bekliyor muydum?
• Mesaj beni acele ettiriyor mu, korkutuyor mu, ödül vaat ediyor mu? (Modül 2 ile bağlantı)
• Gönderen adı ile gönderici adresi uyumlu mu? @ sonrası alan adı mantıklı mı?
• İstenen işlem normal prosedürün dışında mı? (şifre, kod, ödeme, belge açma, link tıklama)
• Linkin gerçek hedefi, görünen yazıyla uyumlu mu? (hover testi)
• Ek dosyası "beklenmedik" mi? Makro etkinleştirme gibi ekstra istek var mı?

Mini Özet: "Düşün" aşaması teknik inceleme değildir; mantıklı şüphe üretmektir. Şüphe oluştuysa bir sonraki adım, doğrulamadır.

4.3. Doğrula: Kanal değiştirerek teyit et

Kısa tanım: Mesajın içindeki linki/numarayı kullanmadan, bağımsız bir kanaldan doğrulama yapmak.

Neden önemli? Saldırgan, sizi kendi kurduğu sahte kanala çekmek ister. Siz bağımsız kanal kullanırsanız kurgu bozulur.

Örnek
— "Şifreniz sıfırlanacak" e-postası geldiyse, linke tıklamak yerine tarayıcıya site adresini kendiniz yazarak veya resmi uygulamadan kontrol ederek doğrulamak.
— Bir iş arkadaşınızdan "acil dosya" geldiyse, başka bir kanaldan (telefon/mesaj/yüz yüze) "Az önce böyle bir e-posta gönderdin mi?" diye sormak.

Gerçek hayatta nerede görülür? Kurumsal mail talepleri, ödeme talimatları, "hesabın tehlikede" mesajları.

İleri referans: Bir sonraki modülde (vishing-smishing) "telefonla teyit" gibi yöntemleri de daha dikkatli ele alacağız; çünkü doğrulama kanalı bile bazen manipüle edilebilir. Bu yüzden burada kurduğunuz alışkanlıklar, sonraki modülün temelini oluşturur.

5) Şüpheli Mesajla Karşılaşınca Ne Yapmalı?

Bu bölüm yalnızca "kandırılmamak" değil; "zararı sınırlamak ve kültür oluşturmak" içindir. İlerleyen modüllerde olay anı adımlarını daha ayrıntılı ele alırken bu temel yaklaşımı genişleteceksiniz.

5.1. Tıklamadıysan / açmadıysan

• Mesajı yanıtlamayın.
• Linke tıklamayın, eki açmayın.
• Gerekirse ekran görüntüsü alın (kişisel veri paylaşmadan).
• Kurum içi süreç varsa "bildir/raporla" kanalını kullanın.

5.2. Tıkladıysan ama bilgi girmediysen

• Sekmeyi kapatın, panik yapmadan değerlendirin.
• Gittiğiniz sayfanın alan adını not edin (raporlama için faydalı olabilir).
• Hesabınızda olağan dışı oturum/aktivite var mı kontrol edin.

5.3. Bilgi girdiysen veya ek açtıysan (kısa çerçeve)

• Güvenilir cihazdan şifre değişimi ve oturum kontrolü yapın.
• Kurum içi bildirim/raporlama sürecini işletin; kanıtı koruyun (mesajı hemen silmeden önce prosedürü düşünün).

Dikkat: Hata yapıldığında gizlemek yerine hızlı bildirim çoğu zaman zararı azaltır. Bu ilke, savunma kültürünün temel parçalarından biridir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Phishing’in, insan faktörünü dijital kanallarda hedefleyen bir sosyal mühendislik yöntemi olduğunu öğrendik (Modül 1 ile bağlantı).
• Genel phishing, spear phishing, whaling ve BEC kavramlarını temel seviyede ayırt etmeyi öğrendik.
• E-postalarda kırmızı bayrakları: gönderen adı–gönderici adresi, alan adı kontrolü, aciliyet/tehdit/ödül dili, yazım-üslup tutarsızlıkları ve normal dışı talepler üzerinden analiz etmeyi öğrendik.
• Link manipülasyonlarını (görünen metin–gerçek hedef farkı, hover testi, karakter benzerliği) ve ek dosya risklerini (makro, arşiv dosyaları, sahte belge senaryoları) kavradık.
• Dur–Düşün–Doğrula ve kanal değiştirerek doğrulama rutinini, şüpheli dijital etkileşimlerde uygulanabilir bir protokol haline getirdik (Modül 2 ile bağlantı).
• Şüpheli bir içerikle karşılaşıldığında doğru tepkinin yalnızca “kaçınmak” değil; zarar azaltmak, raporlamak ve kanıtı korumak olduğunu öğrendik.

MODÜL 4 — Telefon, SMS ve Mesajlaşma: Vishing / Smishing / DM Tuzakları

Modül Teması

Bu modül, sosyal mühendisliğin "ses" ve "kısa mesaj" üzerinden yürütülen biçimlerini ele alır: telefonla yapılan vishing (voice phishing), SMS ile yapılan smishing ve sosyal medya/mesajlaşma uygulamalarındaki DM (direct message) tuzakları. Modül 3'te phishing için öğrendiğiniz kırmızı bayraklar ve Dur-Düşün-Doğrula rutini burada daha kritik hale gelir; çünkü telefon görüşmelerinde zaman baskısı ve sosyal baskı daha yoğun hissedilebilir. Bu modülde, saldırganların konuşma akışını (script) nasıl yönettiğini, Modül 2'de gördüğünüz psikolojik tetikleyicileri (otorite, aciliyet, korku, toplumsal kanıt, yardımseverlik gibi) nasıl kullandığını, kimlik taklidini (impersonation) ve arayan numara sahteciliğini (caller ID spoofing) nasıl "güven üreten ambalaj"a dönüştürdüğünü öğreneceksiniz. Bir sonraki modülde fiziksel alan saldırılarına (ör. peşine takılma/tailgating, sahte kimlik, ziyaretçi yönetimi) geçerken, burada kazandığınız "prosedür dışı talebi fark etme ve sınır koyma" becerisinin fiziksel dünyada da aynı mantıkla çalıştığını göreceksiniz.

1) Dijital Kanallardan Ses ve Mesaja: Neden Bu Kadar Etkili?

1.1. Vishing / Smishing / DM nedir?

Kısa tanım

• Vishing (voice phishing): Telefon görüşmesiyle kandırma; hedefe konuşma yoluyla bilgi verdirme veya işlem yaptırma.

• Smishing (SMS phishing): SMS üzerinden link/ödül/ceza/hesap uyarısı gibi içeriklerle tıklatma, bilgi girdirme veya işlem yaptırma.

• DM tuzakları (direct message): Sosyal medya veya mesajlaşma uygulamalarında doğrudan mesajla ikna edip linke yönlendirme, kod isteme, para talep etme, hesap ele geçirmeye zemin hazırlama.

Neden önemli? Modül 3'te phishing'i analiz ederken "gönderen adresi, alan adı, link hedefi" gibi somut kontrolleriniz vardı. Telefon ve SMS/DM kanallarında ise saldırgan çoğu zaman "hız" ve "sosyal baskı" ile ilerler. Ses tonu, anlık soru yağmuru, "hemen şimdi" vurgusu, "yardım eder misiniz?" baskısı ve otorite iddiası, Modül 2'de öğrendiğiniz tetikleyicileri daha güçlü çalıştırabilir.

Örnek: Telefonla arayan biri "Hesabınızda şüpheli işlem var, hemen doğrulama yapmamız lazım" diyerek sizden tek kullanımlık doğrulama kodunu (OTP) istemeye başlar.

Gerçek hayatta nerede görülür?

• "Hesabınız kapanacak / ceza uygulanacak" temalı aramalar
• "Kargonuz iade olacak" ya da "teslimat için ödeme gerekli" SMS'leri
• Sosyal medyada "Hediye kazandınız" veya "hesabınız kapatılacak" DM'leri

İpucu: Modül 3'teki kırmızı bayrak yaklaşımı burada da geçerli; ancak "linki analiz etmek" yerine çoğu zaman "talebi analiz etmek" daha belirleyicidir. Sizden istenen şey normal mi, prosedür dışı mı?

1.2. Saldırganın hedefi: "Karar anını" ele geçirmek

Kısa tanım Karar anı, sizin durup düşünmeden bir hamle yaptığınız kısa zaman dilimidir (kodu söylemek, linke tıklamak, para göndermek gibi).

Neden önemli? Modül 2'de gördüğünüz gibi aciliyet ve korku, düşünme süresini kısaltır. Vishing ve smishing, bu etkiyi "anlık etkileşim" ile artırır. Modül 3'te Dur-Düşün-Doğrula rutiniyle bu etkiye karşı koymuştunuz; burada "Doğrula" adımı çoğu zaman kanal değiştirmeyi gerektirdiği için daha da kritik hale gelir.

Örnek: "Şu anda hatta kalın, kapatmayın. İşlemi iptal edebilmem için kodu söylemeniz gerekiyor." ifadesi, sizin kontrol listesi uygulamadan ilerlemenizi hedefler.

Gerçek hayatta nerede görülür?

• Bankacılık/abonelik/kurumsal destek taklidi aramalar
• SMS'lerde "5 dakika içinde tıkla" vurguları
• DM'lerde "hemen yanıt vermezsen hakkın yanar" baskısı

2) Vishing: Telefonla Yapılan Sosyal Mühendislik

2.1. Vishing'in çalışma anatomisi (konuşma senaryosu / script)

Kısa tanım Vishing çoğu zaman önceden planlanmış bir konuşma akışıyla ilerler: giriş → güven kurma → problem yaratma → çözüm sunma → eylem isteme.

Neden önemli? Bu akışı tanımak, riskli isteğin çoğunlukla hangi aşamada geleceğini öngörmenizi sağlar. Modül 2'deki mikro-evetler ve sınır yoklama burada pratikte çalışır: saldırgan önce küçük onaylar alır, sonra kritik isteğe geçer.

Örnek: Akış
— "Destek biriminden arıyorum." (otorite)
— "Hesabınızda şüpheli işlem var." (korku)
— "Sizi korumak için hızlı doğrulama yapacağız." (çözüm vaat etme)
— "Telefonunuza gelen kodu söyleyin." (kritik istek)

Gerçek hayatta nerede görülür?

• Çağrı merkezi taklidi
• "Denetim / güvenlik kontrolü" rolüyle aramalar
• "İade/iptal işlemi" bahanesi

Dikkat: Kurumsal süreçlerde sizden şifre, tek kullanımlık doğrulama kodu (OTP) veya uzaktan erişim izni gibi kritik bilgiler "telefonla" istenmez. Böyle bir talep güçlü bir kırmızı bayraktır.

2.2. Banka ve IT destek kurguları: kimlik taklidi (impersonation)

Kısa tanım: Impersonation, bir kurumun/ekibin/yetkilinin kimliğine bürünerek güven üretme yöntemidir.

Neden önemli? Saldırgan, korku ve otoriteyi aynı anda kullanarak düşünme sürenizi kısaltır. Modül 2'deki "otorite" ve "aciliyet" ilkeleri, vishing'de en yoğun kullanılan tetikleyicilerdendir.

Örnek:
— Banka kurgusu: "Hesabınızdan şu an 198.51.100.45 IP adresli bir cihaz üzerinden alışveriş deneniyor. Bunu durdurmak için telefonunuza gelen onay kodunu söylemeniz gerekiyor."
— IT destek kurgusu: "Şirket genelinde sistem güncellemesi var, oturumunuz kilitlenmesin diye aktivasyon kodu göndereceğim; ekrandaki kodu okuyun." (Asıl hedef, 2FA/MFA kodunu ele geçirmek olabilir.)

Gerçek hayatta nerede görülür?

• "Güvenlik birimi", "teknik ekip", "denetim" gibi unvanlarla aramalar
• "Şu anda işlem var" diye başlayan panik kurguları

2.3. Caller ID Spoofing (arayan numara sahteciliği)

Kısa tanım Caller ID spoofing, arayan kimliğinin teknik yöntemlerle manipüle edilerek, telefon ekranınızda numaranın farklı görünmesini sağlamaktır.

Neden önemli? İnsanlar ekranda "resmi" görünen bir numaraya güvenme eğilimindedir. Bu durum, otorite algısını artırır ve sorgulamayı azaltır. Bu yüzden savunmada "geri arama kuralı" kritik hale gelir: gelen aramaya güvenmek yerine, resmi kaynaktan bulduğunuz numarayı siz ararsınız.

Örnek: Arama ekranınızda tanıdık bir kurum numarası görünür; fakat arayan kişi doğrulama kodu ister ve "kapatmayın" diye baskı yapar. Numaranın ekranda doğru görünmesi, arayanın gerçekten o kurumdan olduğu anlamına gelmez.

Gerçek hayatta nerede görülür?

• "Resmi numarayla arıyoruz" iddiası
• "Sadece bu hattan işlem yapılır" gibi baskı cümleleri

İpucu: Numara doğru görünse bile, talep prosedür dışıysa (kod/şifre/uzaktan erişim/para) şüphe önceliklidir. Önce talebi değerlendirip sonra doğrulama adımına geçin.

2.4. Mikro-onaylar (mikro-evetler) ve sınır yoklama

Kısa tanım:

• Mikro-evetler: Küçük onaylarla ilerleyip büyük isteğe zemin hazırlama.
• Sınır yoklama: Önce küçük bir kural ihlali isteyip tepkinizi ölçme.

Neden önemli? Bu teknikler Modül 2'de teorik düzeyde ele alınmıştı; telefonda ise "konuşma temposu" sayesinde daha etkili olabilir. Kişi fark etmeden adım adım kritik bilgiyi paylaşmaya yaklaştırılır.

Örnek:
— "Şu anda müsait misiniz?"
— "Telefonunuz yanınızda mı?"
— "Ekranda bir mesaj gördünüz mü?"
— "Kodu bana okur musunuz?"

Gerçek hayatta nerede görülür?

• "Kimlik doğrulama" bahanesiyle kod isteme
• "Sadece bir kez" diyerek istisna talebi
• "Herkes böyle yapıyor" şeklinde toplumsal kanıt baskısı

3) Smishing: SMS ile Gelen Tuzaklar

3.1. Smishing'in tipik içerik kalıpları: kargo, borç/ceza, ödül

Kısa tanım Smishing, SMS içinde kısa ve eyleme çağıran içeriklerle linke tıklatmayı, bilgi girdirmeyi veya ödeme yaptırmayı hedefler.

Neden önemli? SMS kısa olduğu için mesajın bağlamını ve kaynağını değerlendirmek zordur. Ayrıca mobil ekranda linkin gerçek hedefini anlamak her zaman kolay değildir. Bu yüzden Modül 3'teki "link şüphesi" yaklaşımı burada "linke tıklamadan önce resmi kanala dön" ilkesine evrilir.

Örnek:
— "Kargonuz teslim edilemedi. Güncelleme için: example.org/teslimat"
— "Hesabınız askıya alınacak. 10 dk içinde doğrulayın."
— "Tebrikler, ödül kazandınız. Bilgilerinizi girin."
— "Teslimat için 2.50 TL gümrük vergisi ödemeniz gerekir. Ödeme: example.net/kargo-odeme"
— "Hakkınızda icra takibi başlatıldı. Dosya detayı: example.com/dosya-detay"

Gerçek hayatta nerede görülür?

• Kargo/abonelik/ödül temalı SMS'ler
• Hukuk diliyle korku üreten "borç/ceza" mesajları
• "Hesabınız kapanacak" gibi panik kurguları

Dikkat: Küçük bir tutar istemek ("aman ne olacak") düşüncesini tetikleyerek daha hızlı hata yaptırabilir. Bu da Modül 2'deki "acele" ve "kayıp korkusu" etkileriyle ilişkilidir.

3.2. Link kısaltma (URL shortener) ve görünmez hedef problemi

Kısa tanım URL kısaltıcı, uzun web adreslerini kısa gösteren servislerdir. Kullanıcı, gerçek hedefi görmeden tıklayabilir.

Neden önemli? Modül 3'te e-posta linklerinde yapılan bazı kontroller (ör. linkin üzerine gelerek hedefi görme) mobil SMS ortamında sınırlı çalışır. Bu nedenle güvenli davranış, linki "analiz etmeye çalışmak"tan çok, işlemi resmi uygulama/known adres üzerinden başlatmaktır.

Örnek: SMS'te çok kısa bir link vardır ve "detaylar burada" denir; linkin hangi alan adına gittiği ilk bakışta anlaşılmaz.

# Kısa linki tıklamadan çözümle
analyst@awareness:~/cases/SE-2026-044$ python expand_shortlink.py "hxxps://bit.ly/3xYz9Q"
resolved_domain=secure-update-example.net
domain_age_days=12
reputation=unknown

# Güvenli yönlendirme notu
analyst@awareness:~/cases/SE-2026-044$ echo "do_not_open_link; verify_with_official_app_or_call_center"
do_not_open_link; verify_with_official_app_or_call_center

Gerçek hayatta nerede görülür?

• Kampanya/ödül mesajları
• "Teslimat güncelleme" SMS'leri
• "Hesap doğrulama" iddiası

İpucu: Şüpheli SMS'lerde linke tıklamak yerine ilgili işlemi resmi uygulamadan veya bilinen web adresini kendiniz yazarak başlatmak, saldırganın sahte kanalını bozar (kanal değiştirerek doğrulama).

3.3. "Linke tıklat - bilgi topla - zararlı indir" mantığı

Kısa tanım Smishing, yalnızca sahte giriş sayfasına yönlendirmekle sınırlı değildir; bazen kişisel bilgi toplar, bazen de zararlı bir yazılım indirtmeye çalışır.

Neden önemli? Kurban, "kargo takip uygulaması" gibi görünen bir dosyayı indirirse, bu dosya cihazda kötü amaçlı davranışlar sergileyebilir. Bu modülde odak, teknik analizden çok, riskli zinciri erken kırmaktır.

Örnek: Bir SMS, "paketiniz için takip uygulamasını kurun" diyerek bir .apk dosyası indirtmeye çalışır.

Gerçek hayatta nerede görülür?

• "Takip uygulaması", "güvenlik güncellemesi" gibi masum görünen kurulum çağrıları

• Linke tıklandıktan sonra "devam etmek için indir" yönlendirmeleri

İleri referans: Bir sonraki modülde fiziksel sosyal mühendisliği işlerken, dijital hesap ele geçirmelerin fiziksel ortamlara (ör. ziyaretçi yönetimi, kimlik kontrolü) nasıl kapı aralayabileceğini daha net bağlamda göreceksiniz.

4) DM Tuzakları: Sosyal Medya ve Mesajlaşma Uygulamaları

4.1. DM'lerde güven yanılsaması: yakınlık, beğeni ve toplumsal kanıt

Kısa tanım: DM saldırıları, çoğu zaman yakınlık kurma (beğeni/yakınlık) ve "herkes yapıyor" hissi (toplumsal kanıt) ile ilerler. Bu, Modül 2'de öğrendiğiniz ikna ilkelerinin DM ortamındaki uygulamasıdır.

Neden önemli? Profil fotoğrafı, ortak arkadaş, benzer ilgi alanları, tanıdık dil gibi unsurlar güveni hızla artırabilir. Güven oluşunca saldırgan link/para/kod talebine geçer.

Örnek: "Ben de aynı etkinliğe katılmıştım, şu gruba gir: example.net/grup" mesajı.

Gerçek hayatta nerede görülür?

• "Hediye/çekiliş kazandınız" DM'leri
• "Hesabın kapatılacak" gibi sahte uyarılar
• "Acil yardım eder misin?" gibi duygusal baskı

4.2. Taklit hesaplar ve "hesabın çalındı" panik mesajları

Kısa tanım: Saldırgan, bir hesabı ele geçirip (account takeover) onun üzerinden yazabilir veya bir profili kopyalayarak taklit bir hesap açabilir.

Neden önemli? Mesaj tanıdık bir kişiden geliyormuş gibi göründüğünde, kişi kırmızı bayrakları daha kolay görmezden gelebilir. Bu durum, Modül 3'teki "tanıdık görünen ambalaj" riskinin DM versiyonudur.

Örnek:
— "Topluluk kurallarını ihlal ettin, hesabın kapanacak. İtiraz için: example.org/sikayet-itiraz"
— "Numaram değişti, yeni numaram bu. Bir çekilişe katıldım; telefonuna bir kod gelecek, bana atar mısın?"

Gerçek hayatta nerede görülür?

• "Hesabın kapatılacak", "şikayet aldın" gibi panik kurguları
• "Arkadaşım" gibi görünerek acil isteğe geçme

4.3. Hesap ele geçirme zinciri: kod isteme ve doğrulama bağlantısı tuzağı

Kısa tanım: Saldırgan, hesabınızı ele geçirmek için sizden tek kullanımlık kod (OTP), doğrulama bağlantısı veya şifre sıfırlama adımını tamamlamanızı ister.

Neden önemli? Tek kullanımlık kod, pratikte şifre kadar kritiktir: "tek kullanımlık" olması, paylaşılabilir olduğu anlamına gelmez. Bu, hesap ele geçirmenin en yaygın yollarından biridir.

Örnek: "Yanlışlıkla kendi numaram yerine senin numaranı yazmışım, kod sana gelecek; bana atar mısın?" mesajı.

Gerçek hayatta nerede görülür?

• "Kodu paylaş" istekleri
• "Hesabımı kurtarıyorum" bahanesi
• "Linke tıkla, onayla" yönlendirmeleri

Dikkat: "Bu kod size özeldir, kimseyle paylaşmayın" uyarısı bir formalite değildir; güvenlik sınırıdır.

4.4. PDF ve bulut dosya bağlantısı tuzakları: kimlik bilgisi avcılığı (credential harvesting)

Kısa tanım: Credential harvesting, kullanıcı adı ve şifre gibi kimlik bilgilerini toplamak için kurulan sahte giriş sayfalarıyla yapılan saldırıdır.

Neden önemli? DM üzerinden "iş teklifi", "sektör raporu", "dosya paylaşımı" gibi görünen bir bağlantı, kullanıcıyı "dosyayı görmek için giriş yap" sayfasına götürebilir. Sayfa gerçekmiş gibi görünse de amaç, kimlik bilgilerinizi toplamaktır. Bu durum Modül 3'te öğrendiğiniz phishing'in, DM ve dosya paylaşımı kurgusuyla birleştirilmiş halidir.

Örnek:
— "Detaylar burada: example.com/rapor" mesajı gelir.
— Bağlantıda "devam etmek için e-posta ile giriş yapın" ekranı açılır.
— Girilen bilgiler saldırgan tarafından toplanır (credential harvesting).

Gerçek hayatta nerede görülür?

• "İş teklifi/rapor" başlıklı mesajlar
• "PDF'yi görmek için giriş yap" ekranları
• Dosya paylaşımı görünümlü bağlantılar

5) Uygulanabilir Savunma Protokolü: Dur-Düşün-Doğrula (Telefon/SMS/DM için)

Modül 3'teki rutin burada korunur; fakat "Doğrula" adımı daha sık şekilde geri arama ve resmi uygulama / bilinen adres üzerinden yürütülür.

5.1. Dur: Etkileşimi yavaşlat

Kısa tanım: Baskı varsa, hız kesmek ve kontrol için zaman kazanmak.

Neden önemli? Saldırganın avantajı hız ve baskıdır. Siz hız kesince, Modül 2'deki tetikleyicilerin etkisi düşer ve analitik düşünme geri gelir.

Örnek: "Şimdi söylemezseniz işlem iptal olmaz" baskısına karşı: "Bu talebi bu kanaldan yapamam. Kontrol edip resmi kanaldan geri döneceğim."

Gerçek hayatta nerede görülür?

• "Hatta kalın, kapatmayın" baskısı
• SMS/DM'de "hemen yanıt ver" zorlaması

5.2. Düşün: Talebi analiz et (kırmızı bayrak soruları)

Aşağıdaki sorularla değerlendirme yapın:

• Benden ne isteniyor: şifre, OTP, para, link tıklama, uzaktan erişim, uygulama indirme?
• Bu talep normal prosedürde var mı?
• Bana korku/acele/ödül duygusu yükleniyor mu? (Modül 2 bağlantısı)
• "Kimseye söyleme" gibi gizlilik baskısı var mı?
• Karşı taraf doğrulama yapmama izin veriyor mu, yoksa engelliyor mu?

Mini Özet: Bu kanallarda kırmızı bayrak çoğu zaman "dil ve talep" üzerinden anlaşılır. Talep kritikse ve prosedür dışıysa şüphe yükselir.

5.3. Doğrula: Kanal değiştir, resmi kanala dön (geri arama kuralı)

Kısa tanım: Karşı tarafın verdiği numara/link yerine, bağımsız ve bilinen kaynaktan doğrulama yapmak.

Neden önemli? Saldırgan sizi kendi sahte kanalında tutmak ister. Kanal değiştirdiğinizde kurgu bozulur; bu, Modül 3'teki "ayrı kanaldan teyit" ilkesinin devamıdır.

Uygulanabilir yöntemler

• Telefonla arandıysanız: Görüşmeyi sonlandırın; resmi kaynaktan bulduğunuz numarayı kendiniz arayın (geri arama kuralı).
• SMS aldıysanız: Linke tıklamayın; ilgili hizmetin resmi uygulamasını açın veya bilinen adresi kendiniz yazarak kontrol edin.
• DM aldıysanız: Linke basmadan önce platform içi güvenlik bildirimlerini kontrol edin; gerekiyorsa kişiyi başka kanaldan teyit edin.

Gerçek hayatta nerede görülür?

• "Destek" taklidi aramalar
• "Kargo güncelleme" SMS'leri
• "Hesap doğrulama" DM'leri

5.4. Pratik savunma kuralları (altın standart)

Aşağıdaki kurallar, kanaldan bağımsız şekilde "temel savunma çerçevesi" oluşturur:

• Kod ve şifre gizliliği: OTP / 2FA / MFA kodları asla paylaşılmaz.
• Resmi kanaldan geri dönme: Şüphe varsa iletişimi kesip doğrulamayı siz başlatın (resmi numarayı siz tuşlayın; resmi uygulamayı siz açın).
• Acele ettirmeye karşı durma: "Hemen şimdi yapmalısınız" cümlesi, güçlü bir kırmızı bayraktır. Derin bir nefes alıp iletişimi kesmek çoğu zaman en doğru ilk adımdır.

6) Olay Anı Tepkisi: Ne Yapmalı, Ne Yapmamalı?

6.1. Yapılmaması gerekenler (en sık hatalar)

Kısa tanım: Panik, hız ve utanma duygusu hatayı büyütür.

Neden önemli? Modül 3'te vurgulanan "saklamak yerine bildirmek" yaklaşımı burada da geçerlidir. Telefon/DM saldırıları hızlı yayılabilir; gecikme zararı artırabilir.

Örnek: Hatalar:
— OTP/şifre paylaşmak
— "Sadece bir kere" diyerek istisna yapmak
— Linke tıklayıp "bir bakayım" demek
— Utanıp kimseye söylememek

6.2. Doğru aksiyonlar: güvenli kapanış, kanıt, raporlama, hesap güvenliği

Kısa tanım: Amaç, hem kendinizi korumak hem de çevrenizi/kurumu korumaktır.

Neden önemli? Bildirim, zararı sınırlamada kritik rol oynar; ayrıca saldırganın aynı senaryoyu başkalarına uygulamasını zorlaştırır.

Uygulanabilir aksiyonlar

1. — Güvenli kapanış: "Bu talebi bu kanaldan yapamam, resmi kanaldan döneceğim" deyip görüşmeyi sonlandırın.
2. — Kanıtı koruma: Şüpheli SMS/DM'yi silmeden önce ekran görüntüsü alın (kişisel veri paylaşmadan).

Bilgi paylaştıysanız:

• - Güvenilir bir cihazdan şifre değiştirin.
• - Aktif oturumları sonlandırın (oturumlardan çıkış).
• - 2FA/MFA ayarlarınızı kontrol edin ve gerekirse yeniden yapılandırın.
• - Uygun raporlama kanalına (kurum içi güvenlik ekibi / platform bildirim mekanizması) bildirin.

İleri referans: Bir sonraki modülde fiziksel dünyada "sınır koyma" ve "prosedür" kavramını daha görünür şekilde işleyeceksiniz. Telefonla "hayır diyebilmek" ile kapıda "kimlik görmeden içeri almamak" aynı güvenlik mantığının iki farklı yüzüdür.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Vishing, smishing ve DM temelli saldırıların tanımını; Modül 3’teki phishing ile benzerliklerini ve farklarını öğrendik.
• Bu kanallarda kırmızı bayrakların çoğu zaman “talep” ve “baskı dili” üzerinden anlaşılabileceğini; aciliyet, korku, gizlilik baskısı, kod/şifre isteme ve ödeme/transfer taleplerinin risk işareti olduğunu kavradık.
• Vishing’de konuşma senaryosu (script), mikro-evetler ve sınır yoklama gibi tekniklerle saldırganın adım adım ilerlediğini; bunun Modül 2’deki ikna ilkeleriyle ilişkili olduğunu gördük.
• Caller ID spoofing gibi yöntemlerle numaranın “resmi” görünebileceğini; bu yüzden doğrulamanın geri arama kuralı ve kanal değiştirme ile yapılması gerektiğini öğrendik.
• Smishing’de link kısaltma, küçük ödeme kurguları ve uygulama indirtme gibi yöntemlerle riskli zincirin nasıl kurulduğunu tanıdık.
• DM ortamında taklit hesaplar, panik mesajları, kod isteme ve dosya bağlantısı kurgularıyla credential harvesting/hak ele geçirme risklerinin nasıl oluştuğunu öğrendik.
• Bir sonraki modülde fiziksel sosyal mühendislik yöntemlerine geçerken, burada geliştirdiğimiz “prosedür dışı talebi fark etme ve sınır koyma” becerisinin fiziksel ortamda da temel savunma olduğunu göreceğiz.

MODÜL 5 — Fiziksel Sosyal Mühendislik ve Ofis Güvenliği

Modül Teması

Tailgating / Piggybacking / Sahte Kimlik / Ziyaretçi Yönetimi / Temiz Masa--Ekran Disiplini

Sosyal mühendislik yalnızca e-posta, telefon veya mesajlaşma kanallarıyla sınırlı değildir; gerçek dünyada da (bina girişleri, resepsiyon, ofis katları, ortak alanlar, yazıcılar ve çalışma masaları) benzer psikolojik tetikleyicilerle çalışır. Önceki modüllerde öğrendiğiniz "kırmızı bayraklar", otorite-aciliyet-korku-yardımseverlik gibi manipülasyon unsurları ve "Dur-Düşün-Doğrula" yaklaşımı; bu modülde kapıdan içeri giriş, ziyaretçi doğrulama, ekran ve evrak güvenliği gibi fiziksel pratiklere uygulanır. Bu modülün sonunda, fiziksel sızma girişimlerinin çoğu zaman dijital bir ihlale (oturum açık bırakma, hesap erişimi, yetkisiz ağ bağlantısı, veri sızıntısı) zemin hazırladığını net şekilde görür; günlük çalışma alışkanlıklarınızı güvenli hale getirecek somut yöntemleri öğrenirsiniz. Bir sonraki modülde, fiziksel ve dijital saldırıların gerçek vakalarda nasıl birleştiğini senaryo mantığında ele alırken, burada kazandığınız "prosedüre dönme ve doğrulama" refleksi temel dayanağınız olacaktır.

1) Fiziksel Sosyal Mühendislik: Dijitalin Gerçek Dünyadaki Devamı

1.1. Fiziksel sosyal mühendislik nedir?

Kısa tanım: Saldırganın, hedef ortama fiziksel olarak yaklaşarak (bina girişi, resepsiyon, ofis içi, ortak alanlar) insan davranışlarını manipüle edip erişim veya bilgi elde etmeye çalıştığı saldırılardır.

Neden önemli? Önceki modüllerde saldırganların hedefi çoğu zaman "karar anını" ele geçirmekti: hızlı tıklatma, kod aldırma, acele ettirme. Fiziksel dünyada da benzer şekilde "kısa bir istisna" yaratmak hedeflenir: kapıyı tutmak, birini refakatsiz bırakmak, ekranı açık bırakmak. Bu tek adım, dijital güvenliğin devre dışı kalmasına yol açabilir.

Örnek: Ortak alanda biri "Kartım çalışmadı, kapıyı tutar mısın?" der. Yardım etmek isterken prosedür dışı bir geçişe izin verilebilir.

Gerçek hayatta nerede görülür?

• Turnikeler, kartlı kapılar, asansör erişimleri

• Resepsiyon ve ziyaretçi kayıt noktaları

• Kargo/teslimat alanları

• Açık ofisler, toplantı odaları, ortak çalışma alanları

• Kampüs binaları, kütüphaneler, yurt girişleri

İpucu: Dijitalde "göndereni doğrula" refleksi ne kadar kritikse, fizikte de "kişiyi ve gerekçeyi doğrula" refleksi o kadar kritiktir.

1.2. Fiziksel saldırılar hangi zayıflıkları hedefler?

Kısa tanım: Fiziksel sosyal mühendislik genellikle teknik bir açığa değil; süreç boşluklarına, alışkanlıklara ve sosyal normlara dayanır.

Neden önemli? En gelişmiş kamera/turnike sistemleri bile, "nezaket gereği kapıyı açma" gibi insani davranışlar yüzünden etkisiz kalabilir. Bu durum, önceki modüllerdeki "insan en zayıf halka" prensibinin fiziksel güvenlikte de geçerli olduğunu gösterir.

Örnek: Elinde kutularla gelen bir kişi "Kollarım dolu, kapıyı açar mısın?" der. Yardımseverlik ve suçluluk duygusu tetiklenerek prosedür atlatılmaya çalışılır.

Gerçek hayatta nerede görülür?

• Kapıların kontrolsüz tutulması

• Refakatsiz ziyaretçiler

• Masada bırakılan belgeler, kartlar, notlar

• Ekranın kilitlenmemesi

• Çöpe atılan evraklar, yazıcıda unutulan çıktılar

2) Kapıdan Birlikte Girme: Tailgating ve Piggybacking

2.1. Tailgating nedir?

Kısa tanım: Yetkili bir kişinin arkasına takılarak, kart okutmadan/kimlik göstermeden içeri sızma girişimidir.

Neden önemli? Bu yöntem, "kapının kendisi"nden çok "kapıyı açan davranış"ı hedefler. Önceki modüllerde linke tıklatma ne kadar yaygınsa, fiziksel dünyada da kapıdan birlikte girme o kadar yaygındır.

Örnek: Turnikeden geçerken arkanızdaki kişi "Kartım çantamda kaldı" diyerek sizinle aynı anda geçmeye çalışır.

Gerçek hayatta nerede görülür? Turnikeler, kartlı kapılar, otopark girişleri, kat erişimli asansörler, depo/arka kapılar.

2.2. Piggybacking nedir, tailgating'den farkı ne?

Kısa tanım: Piggybacking, yetkili kişinin bilerek (rıza göstererek) bir başkasını içeri almasıdır. Tailgating'de kişi fark etmeyebilir; piggybacking'de saldırgan çoğu zaman nezaket, yardımseverlik veya suçluluk duygusunu kullanarak izin alır.

Neden önemli? "Rıza" olduğunda risk algısı düşer. "İki dakikalık iş" veya "çok acil" gibi ifadeler aciliyet tetikleyicisini çalıştırır ve kişi istisna yapmaya daha yatkın olur.

Örnek: "Kartım bozuldu, zaten iki dakika işim var, birlikte girelim."

Gerçek hayatta nerede görülür? Ofis girişleri, kampüs binaları, etkinlik alanları, ortak çalışma alanları.

2.3. Kapı güvenliği için uygulanabilir savunma davranışları

Kısa tanım: Savunma, nezaketi koruyarak prosedürü işletmektir.

Neden önemli? Fiziksel ihlallerin önemli bir kısmı "kibar istisnalar"la başlar. Standart cümleler ve süreçler, duygusal baskının etkisini azaltır.

Örnek:
Cümleler ve pratikler:
— "Güvenlik kuralı gereği herkes kendi kartıyla geçmeli. Resepsiyon yardımcı olur."
— "Ziyaretçiyseniz kayıt yapıp refakatle ilerleyebilirsiniz."
— "Ben kapıyı tutabilirim ama giriş için kart okutmanız gerekiyor."

Gerçek hayatta nerede görülür? Yoğun giriş saatleri, toplantı/etkinlik günleri, teslimat yoğunluğu olan zamanlar.

Dikkat: "Hemen şimdi" baskısı, fiziksel sosyal mühendislikte en güçlü kırmızı bayraklardan biridir.

3) Sahte Kimlik ve Kurgu: Impersonation ve Pretexting

3.1. Impersonation (kimlik taklidi) nedir?

Kısa tanım: Saldırganın çalışan, teknisyen, denetçi, teslimat görevlisi veya yetkili gibi görünerek güven kazanmasıdır.

Neden önemli? Önceki modüllerde "ben destek birimiyim" söylemi ne kadar etkiliyse, fiziksel ortamda üniforma, yaka kartı ve resmi konuşma da benzer şekilde etkilidir. "Görünüş" güven üretir; bu yüzden doğrulama süreci şarttır.

Örnek: Boynunda kart olan biri "Ağ cihazlarının bakımını yapacağım, hızlıca cihaz odasına geçmem lazım" der.

# Resepsiyon kayıt sisteminde kimlik ve yetki kontrolü
security@frontdesk:~/desk/visitor-check$ python verify_visitor.py --name "M. Kaya" --purpose "network maintenance"
pre_registered=false
sponsor_found=false
access_zone_requested=server_room

# Prosedür: refakatsiz erişim reddi + kayıt açma
security@frontdesk:~/desk/visitor-check$ python enforce_policy.py --ticket VIS-2026-118
decision=deny_unescorted_access
next_step="create visitor record and contact IT manager"
log_status=recorded

Gerçek hayatta nerede görülür? Resepsiyon, güvenlik noktaları, teknik alanlar, etkinlik girişleri, misafir karşılama.

3.2. Pretexting (kurgu oluşturma) nedir?

Kısa tanım: İnandırıcı bir hikâye kurarak sizden erişim veya bilgi isteme yöntemidir.

Neden önemli? Kurgu, "neden" sorusunu sordurtmamayı hedefler. Önceki modüllerdeki konuşma senaryosu mantığı (giriş → güven → problem → çözüm → istek) burada da aynen çalışır.

Örnek: "Toplantı başlayacak, misafirler dışarıda kaldı. Resepsiyon çok yoğun, beni içeri alır mısınız?"

Gerçek hayatta nerede görülür? Toplantı/etkinlik günleri, yeni çalışan/stajyer yoğunluğu, kargo ve teslimat saatleri.

3.3. Doğrulama protokolü: "Görünen" değil "kanıtlanabilen" kimlik

Kısa tanım: Kimliği ve yetkiyi, kişinin beyanıyla değil bağımsız kayıt ve süreçlerle doğrulamak.

Neden önemli? Yaka kartı, üniforma veya taşıdığı evraklar taklit edilebilir. Bu nedenle doğrulama; randevu kaydı, yetkilendirme listesi, ilgili birim onayı, ziyaretçi kaydı ve refakat gibi kontrollerle yapılmalıdır. Önceki modüllerdeki "kanal değiştirerek doğrulama" yaklaşımı, fizikte "prosedüre dönerek doğrulama" şeklinde uygulanır.

Örnek:
Doğrulama adımları:
— "Randevu kaydınızı resepsiyondan kontrol edelim."
— "Hangi birim çağırdı? İsim ve dahili numara var mı? Onay alalım."
— "Bu alan için refakat zorunlu; sizi ilgili kişiyle buluşturalım."

Gerçek hayatta nerede görülür? Ziyaretçi girişleri, teknik servis ziyaretleri, tedarikçi/teslimat süreçleri.

4) Ziyaretçi Yönetimi ve Erişim Kontrolü

4.1. Ziyaretçi yönetimi neden kritik?

Kısa tanım: Dışarıdan gelen kişilerin kimliğini, amacını ve hareket alanını kontrol etme sürecidir.

Neden önemli? "Kim içeri girdi, nereye gitti, ne kadar kaldı?" sorularının cevabı net değilse olay sonrası inceleme zorlaşır. Refakatsiz ziyaretçiler, hassas alanlara erişebilir veya bilgi görebilir.

Örnek: Kayıt yapılmadan içeri alınan bir ziyaretçi, ofis katında dolaşıp masalardaki belgeleri görebilir.

Gerçek hayatta nerede görülür? Ofisler, okullar, kampüs binaları, ortak çalışma alanları, depolar, servis alanları.

4.2. Temel uygulamalar: kayıt, ziyaretçi kartı, refakat, alan kısıtı

Kısa tanım: Ziyaretçilerin kontrollü yönetilmesi için standart güvenlik adımları.

Neden önemli? Bu adımlar saldırganın hareket alanını daraltır ve belirsizliği azaltır. Ayrıca iz bırakır.

Örnek:
Uygulamalar:
— "Kayıt (log):" giriş saati, ziyaret nedeni, ziyaret edilen kişi/birim
— "Ziyaretçi kartı:" görünür şekilde taşınan, sınırlı yetkili kart
— "Refakat (escort):" ziyaretçinin tek başına dolaşmaması
— "Alan kısıtı (zoning):" sadece izinli bölgelere erişim

Gerçek hayatta nerede görülür? Resepsiyon süreçleri, etkinlik girişleri, teknik servis ziyaretleri.

İpucu: Kayıt altına alınmayan ziyaret, olay sonrası incelemede "görünmez" hale gelir.

4.3. Erişim kontrolü: kart okutma ve en az ayrıcalık

Kısa tanım: Erişim kontrolü, kimlerin hangi alanlara ne zaman girebileceğini belirleyen sistem ve kurallardır. Kartla geçiş (badging) bu sistemin yaygın bir parçasıdır. En az ayrıcalık ilkesi, kişiye sadece işini yapacağı kadar yetki verilmesini savunur.

Neden önemli? Herkesin her yere erişebilmesi, tek bir ihlalin hızla yayılmasına yol açar. En az ayrıcalık, ihlalin etkisini sınırlar. Bir sonraki modülde olay yönetimi ve dijital yetkilendirme süreçlerine geçerken, fiziksel erişim kayıtlarıyla dijital izlerin nasıl birleştiğini daha somut biçimde göreceksiniz.

Örnek: Toplantı katında çalışan birinin depo alanına kart yetkisi olmaması, yetkisiz geçiş durumunda zararı sınırlar.

Gerçek hayatta nerede görülür? Kartlı geçiş yetkileri, anahtar yönetimi, cihaz odaları, depo/arka alanlar.

5) Bilgi Sızıntısı Fizikte Başlar: Shoulder Surfing, Temiz Ekran ve Temiz Masa

5.1. Shoulder surfing (omuz dikizleme) nedir?

Kısa tanım: Birinin ekranını, klavyede yazdıklarını veya belgesini omuz üzerinden izleyerek bilgi elde etme yöntemidir.

Neden önemli? Bu saldırı teknik bilgi gerektirmeden kritik bilgileri açığa çıkarabilir. Önceki modüllerdeki "kimlik bilgisi ele geçirme" riskinin fiziksel karşılığıdır: güçlü parola bile, görülürse işe yaramaz.

Örnek: Bir çalışan kafede iş hesabına giriş yaparken example.org üzerindeki yönetim panelinde parolasını yazar. Yan masadaki kişi telefonuna bakıyormuş gibi yaparak parmak hareketlerini izleyebilir.

Gerçek hayatta nerede görülür? Toplu taşıma, asansör, havaalanı, kafe, kütüphane, kalabalık açık ofisler.

Dikkat: Ekran konumlandırması ve gerektiğinde gizlilik filtresi (privacy filter) kullanımı, shoulder surfing riskini azaltır.

5.2. Ekranı kilitleme (clean screen / lock screen) alışkanlığı

Kısa tanım: Bilgisayar başından ayrılırken oturumu kilitleyerek yetkisiz erişimi engelleme.

Neden önemli? "Sadece bir dakika" bile yeterlidir. Açık kalan oturum, e-posta hesabı ve iş uygulamalarının kurcalanmasına yol açabilir; bu da önceki modüllerde gördüğünüz dijital sızıntıların fiziksel erişimle gerçekleşmesi demektir.

Örnek: Su almak için kalktığınızda ekranı kilitlemeden giderseniz, biri sizin oturumunuzdan belge görüntüleyebilir veya hesaplarınızı kullanabilir.

Gerçek hayatta nerede görülür? Açık ofis, paylaşımlı çalışma alanları, toplantı odaları.

İpucu: Windows'ta Win + L kısayolu ekranı saniyeler içinde kilitler.

5.3. Temiz masa (clean desk) yaklaşımı

Kısa tanım: Masada hassas belge ve nesneleri görünür/erişilebilir bırakmama disiplini.

Neden önemli? Fiziksel ortamda veri sızıntısının en "sessiz" nedeni masada bırakılanlardır: sözleşmeler, notlar, kartlar, USB bellekler. Üstelik masada bırakılan bir USB bellek, saldırgan tarafından zararlı içerik taşıyan başka bir bellekle değiştirilebilir. Bu durum, önceki modüllerde ele alınan "yemleme (baiting)" mantığıyla doğrudan ilişkilidir.

Örnek: Monitöre yapıştırılmış şifre notları, açıkta duran sözleşmeler veya masada unutulan USB bellekler.

Gerçek hayatta nerede görülür? Açık ofis, paylaşımlı masalar, toplantı odaları, mesai bitimi sonrası temizlik saatleri.

6) Yazıcılar, Evraklar ve Çöp: Sızıntının Görünmeyen Kaynakları

6.1. Yazıcıdan çıktı kontrolü: "Unutulan belge" riski

Kısa tanım: Yazıcıda unutulan çıktıların yetkisiz kişiler tarafından görülmesi veya alınması riski.

Neden önemli? Kurumsal hayatta en sık gözden kaçan sızıntı noktalarından biridir. Yazıcı alanları genellikle çok kişinin geçtiği ortak noktalardır.

Örnek: Bir kişi finansal bir listeyi yazıcıya gönderir; araya telefon girer ve belgeyi almayı unutur. Belge, oradan geçen herhangi birinin erişimine açık hale gelir.

Gerçek hayatta nerede görülür? Yazıcı/fotokopi alanları, ortak kat koridorları, resepsiyona yakın bekleme alanları.

6.2. Dumpster diving (çöp karıştırma) nedir?

Kısa tanım: Çöpe atılmış belge ve materyallerden bilgi toplayarak saldırı hazırlama yöntemidir.

Neden önemli? Çöpteki küçük parçalar bile saldırgana güçlü "gerçekçilik" verir: isim listeleri, teslimat etiketleri, iç süreç notları, iletişim bilgileri. Bu detaylar, pretexting kurgularını daha inandırıcı hale getirir.

Örnek: Eski bir ziyaretçi listesi, saldırgana yoğun saatleri veya sık gelen kişi tiplerini gösterebilir.

Gerçek hayatta nerede görülür? Ofis çöp kutuları, arşiv boşaltımları, taşınma/temizlik dönemleri.

6.3. Evrak imhası ve atık yönetimi

Kısa tanım: Hassas evrakları güvenli şekilde imha ederek geri kazanılabilir bilgi bırakmamak.

Neden önemli? Güvenli imha yoksa "çöp" bilgi deposuna dönüşür.

Örnek:
Basit Önlemler:
— Hassas evrakları parçalama (shredding) veya güvenli imha kutularına atma
— Yazıcıdan alınmayan çıktı bırakmama
— Kargo etiketlerinde gereksiz bilgiyi ayıklama/kapama

Gerçek hayatta nerede görülür? Yazıcı alanları, depo/arşiv, kargo paketleme noktaları.

7) Dur-Düşün-Doğrula: Fiziksel Ortam İçin Savunma Protokolü

7.1. Dur: Otomatik davranışı kes

Kısa tanım: Kapı tutma, hızlı onay verme gibi refleksleri yavaşlatmak.

Neden önemli? Saldırganın avantajı sizin acele etmenizdir. Durmak değerlendirme fırsatı sağlar.

Örnek: "Bir saniye, giriş için resepsiyondan kayıt gerekiyor."

Nerede görülür? Yoğun giriş çıkış, etkinlik günleri, teslimat karmaşası.

7.2. Düşün: Talep prosedür dışı mı?

Kendinize şu soruları sorun:

• Bu kişi neden burada, amacı net mi?
• Benden ne istiyor: kapı açma, kartla geçirme, alana erişim, belge görme?
• Aciliyet/otorite baskısı var mı?
• Doğrulamadan kaçınıyor mu?

Mini özet: Fizikte kırmızı bayraklar çoğu zaman "acele + otorite + doğrulamadan kaçınma" etrafında toplanır.

7.3. Doğrula: Prosedüre dön ve bağımsız kontrol yap

Kısa tanım: Kimliği ve yetkiyi bağımsız kayıt/kanalla doğrulamak.

Neden önemli? Prosedür devreye girince saldırganın kurgusu zorlanır.

Örnek: "Ziyaretçi kaydınız yoksa resepsiyondan kayıt açalım; içeride de refakatle ilerleyelim."

Nerede görülür? Ziyaretçi girişleri, teknik servis talepleri, tedarikçi süreçleri.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Fiziksel sosyal mühendisliğin, dijital saldırılarla aynı psikolojik tetikleyicileri kullandığını ve “insanın en zayıf halka” prensibinin fizikte de geçerli olduğunu öğrendik.
• Tailgating ve piggybacking yöntemlerini ve aralarındaki “farkındalık/rıza” farkını analiz ettik; kapı güvenliği için uygulanabilir cümleler ve davranışlar geliştirdik.
• Kimlik taklidi (impersonation) ve kurgu oluşturma (pretexting) ile yapılan sızma girişimlerini tanıdık ve bağımsız doğrulama adımlarını öğrendik.
• Ziyaretçi yönetimi (kayıt, kart, refakat, alan kısıtı) ve erişim kontrolü (kart okutma, en az ayrıcalık) uygulamalarının risk azaltmadaki rolünü kavradık.
• Shoulder surfing, ekran kilitleme, temiz masa/ekran disiplini ve yazıcı çıktısı gibi günlük alışkanlıkların güvenlikte kritik olduğunu öğrendik.
• Çöp karıştırma (dumpster diving) ve evrak imhası süreçlerinin saldırı hazırlığında nasıl kullanılabildiğini ve temel önlemleri öğrendik.
• Fiziksel ortamda “Dur–Düşün–Doğrula” yaklaşımını prosedür ve doğrulama merkezli şekilde uygulamayı pekiştirdik.

MODÜL 6 — Kimlik Doğrulama, Erişim Güvenliği ve Senaryo Kütüphanesi (Parola, MFA, Oturum, Yetkilendirme)

Modül Teması

Bu modül iki katmanlı bir yapı izler: İlk bölümde "hesaba erişim"in güvenlik temellerini (kimlik doğrulama, yetkilendirme, parola, MFA, oturum ve rol/yetki tasarımı) öğrenirsiniz. İkinci bölümde ise önceki modüllerde gördüğünüz psikolojik tetikleyiciler (otorite, aciliyet, kıtlık, yardımseverlik, toplumsal kanıt) ile dijital/sesli/fiziksel saldırı vektörlerinin gerçek hayatta nasıl birleştiğini, senaryo kütüphanesi üzerinden uçtan uca analiz edersiniz. Bu modülün sonunda, "saldırgan neyi hedefliyor?" sorusunu hesap ve erişim güvenliği perspektifiyle okuyabilir; bir sonraki modülde ele alınacak savunma protokollerini bu senaryolara nasıl uygulayacağınızı daha net kurgulayabilirsiniz.

1) Kimlik Doğrulama ve Yetkilendirme: "Kim?" ve "Ne yapabilir?"

1.1. Authentication (Kimlik doğrulama) nedir?

Kısa tanım: Bir sistemin, karşısındaki kullanıcının gerçekten iddia ettiği kişi olup olmadığını doğrulama sürecidir.

Neden önemli? Önceki modüllerde gördüğünüz oltalama (phishing), telefonla ikna (vishing) ve SMS/mesaj tuzakları (smishing/DM) çoğu zaman kimlik doğrulamayı aşmayı hedefler. Saldırgan sizin adınıza sisteme giriş yapabildiğinde, sistem onu "siz" sanır.

Örnek: Bir uygulama "e-posta + parola" ister. Doğru girilirse hesap açılır; bu adım kimlik doğrulamadır.

Gerçek hayatta nerede görülür?

• E-posta hesapları

• Bankacılık uygulamaları

• Kurumsal paneller (CRM/ERP gibi)

• Okul/kurum portalları

İpucu: Kimlik doğrulama "kim olduğunuzu" belirler; güvenliğin ilk kapısıdır.

1.2. Authorization (Yetkilendirme) nedir?

Kısa tanım: Kimliği doğrulanan kullanıcının sistem içinde hangi işlemleri yapabileceğini belirleme sürecidir.

Neden önemli? Saldırgan içeri girdikten sonra daha fazla yetki alırsa zarar büyür. Bu, önceki modülde (fiziksel erişim kontrolü ve en az ayrıcalık) gördüğünüz mantığın dijital karşılığıdır: Herkesin her yere erişebilmesi, ihlalin etkisini artırır.

Örnek: Aynı sisteme giriş yapan iki kişi düşünün: biri yalnızca "okuma" yetkisine sahiptir; diğeri "silme" ve "kullanıcı ekleme" yetkisine sahiptir. İkisi de giriş yapmıştır (authentication), ancak yapabildikleri farklıdır (authorization).

Gerçek hayatta nerede görülür?

• Yönetici (admin) ve normal kullanıcı ayrımı
• Dosya paylaşım izinleri (görüntüle/düzenle)
• Veri tabanı erişimleri
• Bulut servislerinde rol/izin atamaları

Dikkat: Birçok olayın "büyük krize" dönüşmesi, yanlış/şişirilmiş yetkiler yüzündendir.

1.3. Authentication ve authorization farkı neden kritik?

Kısa tanım: Authentication = "Kim?", Authorization = "Ne yapabilir?"

Neden önemli? Sadece giriş ekranını korumak yetmez; içeride ne yapılabildiğini de sınırlandırmak gerekir. Bir sonraki modülde olay müdahalesi ve raporlama süreçlerine geçerken "hangi hesap, hangi yetkiyle, ne yaptı?" sorusu temel analiz sorularınızdan biri olacaktır.

Örnek: Saldırgan bir hesabı ele geçirir. Hesap gereksiz yere yüksek yetkilere sahipse zarar katlanır; en az ayrıcalık uygulanmışsa zarar sınırlanır.

2) Parola Güvenliği: Saldırganın En Sevdiği Hedef

2.1. Güçlü parola nedir?

Kısa tanım: Tahmin edilmesi ve kırılması zor, yeterince uzun ve benzersiz paroladır.

Neden önemli? Parola "tek faktör" olarak kalırsa, ele geçirildiğinde saldırgan doğrudan giriş yapabilir. Bu yüzden parola güvenliği, sosyal mühendislikteki "karar anı"nı güçlendiren en kritik alışkanlıklardan biridir.

Örnek: (Benzetme) Parola, evinizin anahtarı gibidir. Anahtar kopyalanırsa kapınız sağlam olsa bile girilebilir.

Gerçek hayatta nerede görülür?

• E-posta ve sosyal medya hesapları
• Oyun/alışveriş hesapları
• Kurumsal paneller

Uygulanabilir ilkeler:

• Uzunluk: Genellikle uzunluk arttıkça güvenlik artar.

• Benzersizlik: Her hesap için farklı parola.

• Tahmin edilemezlik: İsim, doğum yılı, "123456" gibi kalıplardan kaçınma.

İpucu: Çok karmaşık ama kısa bir parola yerine, uzun ve benzersiz bir parola çoğu durumda daha dayanıklıdır.

2.2. Parola tekrar kullanımı neden tehlikeli?

Kısa tanım: Aynı parolanın birden fazla hesapta kullanılmasıdır.

Neden önemli? Bir hesap sızarsa zincirleme ele geçirme başlar. Bu, önceki modüllerdeki "zincir saldırı" mantığına benzer: Tek bir kapı açılırsa diğer kapılar da düşer.

Örnek: Aynı parola hem bir alışveriş hesabında hem e-posta hesabında kullanılır. Alışveriş hesabı üzerinden parola sızınca e-posta hesabı da risk altına girer.

2.3. Parola yöneticisi (password manager) nedir?

Kısa tanım: Parolaları güvenli bir kasada saklayan ve güçlü, benzersiz parolalar üretmeye yardım eden araçtır.

Neden önemli? "Her hesap için ayrı güçlü parola" insan hafızasıyla sürdürülemez. Parola yöneticisi tekrar kullanımını azaltır ve güvenli parola üretimini pratik hale getirir.

Örnek: Bir kullanıcı her hesap için 16-20 karakterlik farklı parolalar üretir; yalnızca "ana parola"yı bilir.

Dikkat: Parola yöneticisinin ana parolası kritik varlıktır; mümkünse MFA ile korunmalıdır.

3) MFA (Çok Faktörlü Doğrulama): "Parola Yetmez"

3.1. MFA nedir?

Kısa tanım: Girişte birden fazla doğrulama faktörü kullanılmasıdır:

• Bildiklerin: parola, PIN
• Sahip oldukların: telefon, donanım anahtarı
• Olduğun: biyometri

Neden önemli? Parola çalınsa bile ikinci faktör olmadan giriş zorlaşır. Bu, fiziksel dünyadaki "iki kilitli kapı" mantığına benzetilebilir.

Örnek: Parola girildikten sonra uygulamada üretilen 6 haneli OTP istenir.

3.2. MFA yöntemleri ve güvenlik karşılaştırması

SMS ile OTP

• Tanım: Kod SMS olarak gelir.
• Neden önemli: Yaygın ve kolaydır; ancak "kodu söyle" tuzağına daha sık malzeme olur.
• Örnek: "Giriş kodunuz: 482913" SMS'i.

Uygulama tabanlı OTP (Authenticator)

• Tanım: Kod doğrulayıcı uygulamada üretilir.
• Neden önemli: SMS'e göre genellikle daha dayanıklı kabul edilir.
• Örnek: 30 saniyede bir değişen kod.

Push onayı

• Tanım: Telefona "onayla/reddet" bildirimi gelir.
• Neden önemli: Kullanımı rahattır; ancak onay bombardımanı riski vardır.
• Örnek: Arka arkaya giriş onayı bildirimleri.

Donanım güvenlik anahtarı (Security Key)

• Tanım: USB/NFC gibi fiziksel anahtarla doğrulama.
• Neden önemli: Özellikle oltalama türlerine karşı güçlü seçeneklerden biridir.
• Örnek: Giriş sırasında anahtarı takıp dokunmak.

Mini Özet: MFA yöntemi seçimi, saldırı modelini değiştirir; "kolaylık-güvenlik" dengesi kurarken riskleri bilmek gerekir.

3.3. "Kod Gönder" tuzağı ve MFA yorgunluğu (MFA fatigue)

Kısa tanım:

• Kod gönder tuzağı: Saldırgan "şifremi unuttum" akışını başlatır, kurbana gelen OTP'yi kurbandan ister; böylece 2FA'yı fiilen atlar.
• MFA yorgunluğu: Push bildirimlerini peş peşe gönderip kullanıcıyı bıktırarak yanlışlıkla onaya yönlendirme.

Neden önemli? Bu teknikler, önceki modüllerde öğrendiğiniz "otorite + aciliyet" baskısını teknik bir arayüze taşır.

Örnek (kod gönder): Arayan kişi "Banka güvenliğinden arıyorum, hesabınıza giriş denemesi var, telefonunuza gelen iptal kodunu söyleyin" der. Aslında saldırgan o kodla şifre sıfırlama veya giriş tamamlamaya çalışıyordur.
Örnek (MFA yorgunluğu): Gece art arda onay bildirimleri gelir; kullanıcı "bitsin diye" onaylayabilir.

İpucu: Beklemediğiniz MFA isteği gelirse, "onaylamak" yerine oturumları kapatmak ve parola/MFA ayarlarını kontrol etmek daha güvenli yaklaşımdır.

4) Oturum (Session), Cookie ve Token: İçeride Kalma Problemi

4.1. Oturum (session) nedir?

Kısa tanım: Giriş yaptıktan sonra "bu kullanıcı giriş yaptı" bilgisini bir süre koruyan mantıksal durumdur.

Neden önemli? Saldırgan bazen parolayı değil, oturumu ele geçirir. Bu durumda parola değişse bile oturum açık kalabilir. Bu, fiziksel sızmada "içeri girdikten sonra içeride kalma" hedefinin dijital eşidir.

Örnek: "Beni hatırla" seçeneğiyle uzun süre parola sormayan uygulamalar.

4.2. Cookie ve token nedir?

Kısa tanım:

Cookie: Tarayıcıda saklanan küçük veri; oturum kimliği taşıyabilir.
Token: Kimlik/yetki bilgisini taşıyan dijital "anahtar" benzeri değer.

Neden önemli? Cookie/token ele geçirilirse saldırgan sizin adınıza işlem yapabilir. Bu yüzden paylaşımlı cihazlarda çıkış yapmak ve cihazı kilitlemek kritik alışkanlıklardır (bir önceki modüldeki "temiz ekran/oturum kapatma" disipliniyle doğrudan bağlantılıdır).

Örnek: Ortak bilgisayarda oturum açık bırakılırsa, sonraki kişi cookie üzerinden hesaba erişebilir.

4.3. Session hijacking (oturum ele geçirme) nedir?

Kısa tanım: Saldırganın kullanıcının aktif oturumunu ele geçirip kullanıcı gibi davranmasıdır.

Neden önemli? Parolayı kırmadan hesabın içine girilebilir. Risk, paylaşımlı cihazlarda ve zayıf oturum yönetiminde artar.

Örnek: Kütüphane bilgisayarında çıkış yapmadan ayrılan kişinin hesabını sonraki kişi kullanabilir.

5) Yetkilendirme Tasarımı: En Az Ayrıcalık, Roller ve Hesap Yaşam Döngüsü

5.1. En az ayrıcalık (least privilege) ilkesi

Kısa tanım: Kullanıcıya yalnızca işini yapması için gereken en düşük yetkiyi verme yaklaşımıdır.

Neden önemli? Hesap ele geçirilse bile saldırganın yapabilecekleri sınırlanır. Bu, kurumsal senaryolarda (özellikle finans ve yönetici hedeflemelerinde) hasarı azaltan temel prensiptir.

Örnek: Sadece rapor görüntülemesi gereken kullanıcının "kullanıcı silme" yetkisi olmamalıdır.

5.2. RBAC (Role-Based Access Control) nedir?

Kısa tanım: Yetkileri kişilere tek tek vermek yerine rollere tanımlayıp kişilere rol atamak.

Neden önemli? Yetki karmaşasını azaltır ve hatalı yetkilendirmeyi önlemeye yardım eder.

Örnek: "Öğrenci / asistan / yönetici" rolleri; erişebildikleri sayfaların farklı olması.

5.3. Provisioning ve deprovisioning (Hesap yaşam döngüsü)

Kısa tanım:
Provisioning: Hesap açma ve ilk yetkilendirme
Deprovisioning: Hesabı kapatma/erişimi kaldırma, yetkileri geri alma

Neden önemli? Ayrılan personelin hesabı kapatılmazsa "gölge erişim" oluşur; bu da uzun vadeli riskleri büyütür.

Örnek: Stajı biten birinin hesabı kapatılmadıysa aylar sonra hâlâ erişebilir.

İpucu: Yetkilendirme sadece "vermek" değildir; "zamanında geri almak" da güvenliğin parçasıdır.

6) Şüpheli Hesap Etkinliğinde İlk Müdahale: Ne Yapmalı?

6.1. Kırmızı bayraklar

Kısa tanım: Normal dışı işaretler hesap ele geçirme riskini gösterir.

Neden önemli? Erken fark etmek zararı sınırlar. Önceki modüllerdeki "utanma yerine bildirim" yaklaşımı burada da geçerlidir.

Örnek işaretler:

• Siz giriş yapmadığınız halde MFA isteği gelmesi
• "Yeni cihazdan giriş yapıldı" uyarısı
• Hesap ayarlarında e-posta/telefon değişikliği denemeleri
• Tanımadığınız oturumlar

6.2. İlk adım planı (kontrol listesi)

1. — Şüpheli oturumları kapat (tüm cihazlardan çıkış).
2. — Parolayı değiştir (benzersiz ve uzun).
3. — MFA ayarlarını kontrol et (yeni yöntem eklenmiş mi, kurtarma adımları değişmiş mi).
4. — Hesap kurtarma bilgilerini kontrol et (ikincil e-posta/telefon).
5. — Kurum içi bildirim ve kayıt sürecini başlat.

Dikkat: Şüphe varken gelen MFA isteklerine onay vermek, çoğu zaman hatayı büyütür.

Senaryo Kütüphanesi: Kurumsal, Bireysel ve Öğrenci Ortamlarında Birleşik Saldırılar

Bu bölümde amaç, tek bir saldırı tekniğini ezberlemek değil; saldırının nasıl "senaryo"ya dönüştüğünü görmektir. Saldırgan genellikle önce keşif yapar (kurumun işleyişi, ekip isimleri, süreçler), sonra ikna kurar (otorite, aciliyet, gizlilik), ardından istismara geçer (kimlik bilgisi toplama, MFA aşma, kötü amaçlı dosya çalıştırma) ve sonuç alır (para transferi, hesap ele geçirme, veri sızıntısı). Bu akış, bir sonraki modülde ele alınacak savunma protokollerinin neden "rutin" haline getirilmesi gerektiğini açıklayan temel çerçevedir.

7) Kurumsal Senaryolar

7.1. IT destek şifre sıfırlama senaryosu (Impersonation + Pretext)

Kurgu: "Merhaba, Bilgi İşlem'den Can. Güvenlik taraması yapıyoruz. 192.0.2.145 IP adresli cihazınız ağa zararlı trafik gönderiyor. Hesabınızı güvene almak için şifrenizi standart bir şifreyle değiştirmemiz gerekiyor. Ben sizin yerinize yapabilirim; mevcut şifrenizi onaylamanız yeterli."

Analiz (ne hedefleniyor?):

• Pretext: "Güvenlik taraması / zararlı trafik" bahanesiyle panik oluşturma
• Tetikleyiciler: otorite + aciliyet + korku
• Hedef: Parolayı almak veya şifre sıfırlama sürecini ele geçirmek

Doğru yaklaşım: Önceki modüllerdeki "ayrı kanaldan teyit" kuralını uygulayın. Bir sonraki modülde ayrıntılandırılacak "geri arama" gibi protokoller, doğru numarayı siz bulup aradığınızda bu saldırıyı büyük ölçüde bozar.

7.2. Yönetici acil talimat senaryosu (Whaling / BEC)

Kurgu: Finans ekibindeki bir çalışana, üst düzey yöneticiden gelmiş gibi görünen e-posta gelir: "Şu an yurt dışı görüşmesindeyim, telefonlara bakamıyorum. Çok gizli bir satın alma anlaşması var. Ekteki faturanın 10.000 USD tutarındaki ilk ödemesini acilen example.com/payment-portal üzerinden gerçekleştirin. Kimseye sormayın, proje gizli."

Analiz:

• Tetikleyiciler: otorite + aciliyet + gizlilik
• Hedef: Onay süreçlerini atlatıp para transferi yaptırmak
• Neden tehlikeli?: Hedef kişi/rol finansal işlem yetkisine yakınsa zarar büyük olur (authorization riski).

Doğru yaklaşım: Kurumsal onay akışını atlamayın. "Gizli, kimseye sorma" baskısı, doğrulamayı kesmek için kullanılır.

7.3. Tedarikçi ödeme/IBAN değişikliği senaryosu (hacklenmiş hesap riski)

Kurgu: "Sayın ilgili, banka hesaplarımız değişti. Bundan sonraki ödemeleri ekteki yeni IBAN'a yapınız."

Analiz:

• E-posta gerçekten doğru kişiden geliyor olabilir; çünkü tedarikçinin hesabı ele geçirilmiş olabilir (BEC tarzı bir risk).

• Bu yüzden "gönderen adres doğruysa sorun yok" varsayımı güvenilir değildir.

Doğru yaklaşım: Önceki modüllerdeki "ayrı kanaldan teyit" kuralı burada hayat kurtarır: daha önce kayıtlı, güvenilir bir iletişim kanalından (eski telefon gibi) teyit yapılmadan ödeme bilgisi değiştirilmemelidir.

8) Bireysel Senaryolar

8.1. Kargo / resmi bildirim / banka mesajı (Smishing + credential harvesting)

Kurgu: "Paketiniz teslim edilemedi. 4.50 TL işlem ücreti ödenmezse iade edilecek. Öde: example.net/ptt-odeme"

Analiz:

• Neden küçük meblağ?: Küçük tutar şüphe uyandırmaz; amaç çoğu zaman kart bilgilerini veya giriş bilgilerini toplamaktır (credential harvesting).

• Hedef: Kart bilgisi, kullanıcı adı/şifre, kimlik verileri

Doğru yaklaşım: Linke tıklamadan resmi uygulama/website üzerinden işlemi kontrol etmek; mesajdaki aciliyet ve küçük tutarı "otomatik güven" işareti olarak görmemek.

8.2. "Kod gönder" tuzağı (2FA bypass)

Kurgu: Saldırgan şifre sıfırlama başlatır; kurban aranır: "Hesabınıza giriş denemesi var, telefonunuza gelen iptal kodunu söyleyin."

Analiz:

• Saldırganın istediği "iptal kodu" aslında giriş veya şifre sıfırlama için gereken OTP'dir.
• MFA burada kurban üzerinden "tamamlatılır".

Doğru yaklaşım: OTP/MFA kodları kimseyle paylaşılmaz. Beklenmedik kod geliyorsa oturumları kapatmak ve parola/MFA'yı kontrol etmek doğru adımdır.

8.3. Sahte iş veya staj teklifi (Baiting + zararlı ek)

Kurgu: Mesaj: "Profiliniz çok etkileyici. Global bir yazılım firması için tam aradığımız adaysınız. İş detayları ve maaş skalası ekte."

Analiz:

• Tetikleyici: beğeni/ödül (kariyer fırsatı)
• Risk: Ek dosya (ör. Teklif_Detaylari.iso veya makro içeren bir tablo) açıldığında uzaktan erişim truva atı (RAT) yüklenebilir.
• Bu, sosyal mühendisliğin "dosya üzerinden istismar" varyantıdır.

Doğru yaklaşım: Dosya türüne ve kaynağa dikkat etmek; kurumsal doğrulama yapmak; şüpheli ekleri çalıştırmamak.

9) Üniversite ve Öğrenci Senaryoları (Güvene Dayalı Ortamlar)

9.1. Öğrenci işleri duyurusu (sahte portal)

Kurgu: "Önemli duyuru: Burs başvuruları ve yurt kayıtları hakkında yeni yönetmelik yayınlandı. Giriş yapıp onaylamanız gerekiyor: university-portal-example.org"

Analiz:

• Tetikleyici: toplumsal kanıt ("herkese gidiyor") ve aciliyet
• Hedef: Öğrenci numarası/şifresi gibi kimlik bilgilerini toplamak (credential harvesting)
• Ele geçirilen hesapla erişilebilecek veriler genişleyebilir; bu nedenle authorization sınırları kritik hale gelir.

9.2. Burs veya etkinlik linki (kıtlık/azlık)

Kurgu: "Ayda 5.000 TL burs! Sadece ilk 100 kişi. Başvur: example.com/burs-basvuru"

Analiz:

• Tetikleyici: kıtlık ve azlık ("ilk 100 kişi")
• Risk: Formda kişisel bilgiler ve hatta bankacılık bilgileri istenebilir.

9.3. Kulüp adına bağış / QR kodla yönlendirme (Quishing)

Kurgu: Kampüste/sohbette: "Yardım projesi için bağış topluyoruz, QR kodu okut."

Analiz:

• Tetikleyici: yardımseverlik
• Risk: QR kod, sahte ödeme sayfasına veya zararlı siteye yönlendirebilir (QR code phishing / quishing).

Doğru yaklaşım: Ödeme sayfasının adresini kontrol etmek; bağışı resmi kanallardan yapmak; QR kodu "güvenilirlik garantisi" gibi görmemek.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Kimlik doğrulama ve yetkilendirmenin farklı problemler olduğunu; ikisinin birlikte doğru tasarlanmasının ihlal etkisini belirlediğini öğrendik.
• Parola güvenliğinin yalnızca “karmaşıklık” değil; uzunluk, benzersizlik ve yönetilebilirlik (parola yöneticisi) ile ilgili olduğunu kavradık.
• MFA’nın hesap güvenliğini güçlendirdiğini; ancak “kod gönder” tuzağı ve MFA yorgunluğu gibi sosyal mühendislik uyarlamalarıyla hedef alınabildiğini gördük.
• Oturum, cookie ve token üzerinden “içeride kalma” problemini ve oturum ele geçirme riskini anladık.
• En az ayrıcalık, RBAC ve hesap yaşam döngüsü yönetiminin, kurumsal saldırılarda (özellikle finans ve yönetici hedeflemelerinde) hasarı sınırladığını öğrendik.
• Kurumsal, bireysel ve öğrenci ortamlarında saldırıların çoğunlukla keşif–ikna–istismar zinciriyle yürüdüğünü; doğrulama ve teyit adımlarının bu zinciri kırdığını senaryolarla pekiştirdik.

MODÜL 7 — Savunma Omurgası: Kırmızı Bayraklar + Doğrulama Protokolü

Modül Teması

Bu modül, önceki modüllerde öğrendiğiniz saldırı türlerini (e-posta oltalama, telefon/SMS tuzakları, mesajlaşma üzerinden kimlik taklidi, fiziksel sosyal mühendislik ve senaryo kurguları) tek bir "savunma omurgası" altında toplar. Amaç; teknik ayrıntılara boğulmadan, sahada uygulanabilir iki temel beceriyi otomatikleştirmektir: kırmızı bayrakları fark etmek ve doğrulama protokolünü doğru şekilde uygulamak. Modül 6'daki senaryoları yalnızca "okuyup geçmek" yerine, aynı durumlarla karşılaştığınızda doğru refleksi devreye sokmayı hedefler. Bir sonraki modülde olay anı ve ilk müdahale adımlarına geçerken, burada kurduğunuz rutinler hem hataya düşme olasılığını azaltır hem de hata olursa hasarı sınırlayacak kararları hızlandırır.

1) Savunma Omurgası Nedir? Neden "Tek Sayfalık Refleks" Gibi Düşünülür?

1.1. Savunma omurgası (defense backbone) nedir?

Kısa tanım: Savunma omurgası, saldırı tekniği değişse bile her seferinde uygulanabilen, az adımlı ve tutarlı güvenlik davranış setidir.

Neden önemli? Önceki modüllerde sosyal mühendisliğin hedefinin çoğu zaman "karar anınızı" ele geçirmek olduğunu gördünüz. Saldırganlar e-posta, telefon, SMS ya da fiziksel ortam kullanabilir; ama ortak hedef genellikle aynıdır: sizi acele ettirmek, doğrulamayı engellemek ve tek bir kanala sıkıştırmak. Bu yüzden her saldırı türüne ayrı ayrı ezber yapmak yerine, hepsini yakalayan bir omurga kurmak daha sürdürülebilir olur.

Örnek: Bir mesaj "hemen şimdi ödeme yap" diyebilir, bir arama "kodu söyle" diyebilir, bir kişi "kapıyı tut" diyebilir. Üçünde de ortak savunma, durup doğrulama kanalına geçmektir.

Gerçek hayatta nerede görülür?

• Banka/alışveriş/abonelik işlemleri
• Kurumsal ödeme ve onay süreçleri
• Okul/öğrenci portalı girişleri
• Ofis girişleri, ziyaretçi yönetimi, teslimat süreçleri

İpucu: Savunma omurgası "teknik bilgi" kadar "doğru alışkanlık" işidir. En etkili savunma çoğu zaman en sade olandır.

1.2. Kırmızı bayrak + doğrulama protokolü ilişkisi

Kısa tanım:

• Kırmızı bayraklar: Şüphe uyandıran işaretler (neye dikkat edeceğim?)

• Doğrulama protokolü: Şüphe oluştuğunda izlenecek yöntem (ne yapacağım?)

Neden önemli? Kırmızı bayrakları görmek tek başına yetmez; "ne yapacağını" bilmezsen yalnızca tedirgin olursun. Doğrulama protokolü bilip kırmızı bayrakları kaçırırsan da protokol hiç devreye giremez. Bu ikisi, Modül 3-5'teki kanal bazlı risklerin ortak paydasıdır ve Modül 6'daki senaryoların da "panzehiri"dir.

Örnek: E-posta "bugün son gün" diyorsa bu bir bayraktır; protokol gereği tıklamadan doğrular, ayrı kanaldan teyit edersin.

2) Kırmızı Bayraklar: Tehlike Sinyalleri (Kanal Kanal)

Kırmızı bayraklar, bir durumun "olağan dışı" olduğunu ve potansiyel saldırı riski taşıdığını gösteren ipuçlarıdır. Modül 2'deki psikolojik tetikleyiciler (otorite, aciliyet, kıtlık, ödül, korku vb.) genellikle bu bayraklarla birlikte görünür; yani "duygu" yükselirken "kontrol" zayıflar.

2.1. E-posta ve mesajlaşmada kırmızı bayraklar (phishing / link / dosya)

Kısa tanım: E-postada kırmızı bayraklar; kimlik, içerik ve yönlendirme (link/dosya) tutarsızlıklarıdır.

Neden önemli? Modül 3'teki oltalama saldırıları çoğu zaman "tıklat → giriş yaptır → bilgiyi topla" veya "dosya açtır → erişim elde et" zincirine dayanır. Kırmızı bayraklar, bu zincirin en kritik halkası olan "tıklama/işlem anını" durdurur.

Sık görülen kırmızı bayraklar:

• Gönderen adı ile gerçek adres uyumsuzluğu: Görünen ad kurumsal gibi, fakat adresin alan adı beklenmedik (ör. "Destek Ekibi" görünüyor ama adres <destek@example.net> gibi beklenmeyen bir yerden geliyor).
• Alan adı sahteciliği (domain spoofing) izleri: Alan adı, gerçek kuruma benzer biçimde seçilmiş (harf oyunları, ek kelimeler, noktalama ile benzerlik).
• Olağandışı talep: Mesai dışı "çok acil ödeme", "şifre bilgisi", "gizli işlem" gibi alışılmadık istekler.
• Tuhaf yazım ve üslup: Kurumsal metin yerine tutarsız dil, belirgin çeviri hataları, resmiyetsiz anlatım.
• İzolasyon dili: "Kimseye söyleme", "gizli", "sadece sen hallet".
• Link tutarsızlığı: Metinde güvenilir görünen linkin tıklayınca başka yere gitmesi; adres çubuğu ile metnin uyuşmaması.
• Beklenmedik ek/dosya: Beklenmeyen anda gelen ekler veya gereksiz şekilde dosya açtırma ısrarı.

Örnek: "Güvenlik güncellemesi için hemen şu linkten giriş yapın, aksi halde hesabınız kapanacak" mesajı hem aciliyet baskısı yapar hem de hassas işlem (giriş) ister.

Gerçek hayatta nerede görülür?

• Fatura/abonelik/ödeme bildirimleri
• Kurumsal onay akışları
• Dosya paylaşım bildirimleri
• İş/staj başvurusu dosyaları

Dikkat: Kırmızı bayrakların en güçlüsü genellikle "aciliyet + işlem yaptırma + doğrulamayı engelleme" kombinasyonudur.

2.2. Telefon ve SMS iletişiminde kırmızı bayraklar (vishing / smishing)

Kısa tanım: Telefonda ve SMS'te kırmızı bayraklar; baskı, panik, gizlilik ısrarı ve hassas bilgi/kod isteme gibi işaretlerdir.

Neden önemli? Modül 4'teki tuzakların çoğu, konuşma akışını kontrol edip sizi hızlı karar vermeye iter. Telefon kanalı "insani" olduğu için otorite ve aciliyet tetikleyicileri daha güçlü hissedilir.

Sık görülen kırmızı bayraklar:

• Baskı ve acele ettirme: "Hemen şimdi yapmazsanız hesabınız dondurulacak" gibi süre dayatma.
• Gizlilik ısrarı: "Kimseye söyleme, çok gizli" diyerek danışmayı engelleme.
• Kişisel veri/kod talebi: OTP/MFA kodu, parola, kart bilgisi, güvenlik sorusu yanıtı gibi bilgileri isteme.
• Geri aramaya direnç: "Bu hat kapanmaz, şimdi çözmeliyiz" diyerek kanalı değiştirmeyi engelleme.
• Numara sahteciliği ihtimali: Ekranda kurum numarası görünse bile (Caller ID Spoofing), bunun tek başına güven kanıtı olmaması.

Örnek: Arayan kişi "güvenlik biriminden" olduğunu söyleyip "telefonunuza gelen kodu söyleyin, işlemi iptal edeyim" der. Burada "kodu söyle" talebi doğrudan kırmızı bayraktır.

Gerçek hayatta nerede görülür?

• Banka/ödeme sistemi taklidi aramalar
• IT destek taklidi aramalar
• Kargo/teslimat bahaneleri
• Abonelik iptal/yenileme sahtekârlıkları

2.3. Mesajlaşma (DM) kırmızı bayrakları

Kısa tanım: DM kırmızı bayrakları; taklit hesap, hızlı tıklatma ve "dosyaya bak" tuzakları gibi işaretlerdir.

Neden önemli? Modül 3 ve 4'teki mantık DM'de de çalışır: kısa mesajlarla hız kazandırılır, kullanıcı düşünmeden linke gider veya bilgi verir.

Sık görülen kırmızı bayraklar:

• Taklit hesaplar: İsim/resim benzer, fakat hesap yeni veya geçmişi tutarsız.
• "Hesabın çalındı" gibi panik mesajlarıyla acele ettirme.
• Beklenmedik link/dosya: "Şuna bak" diyerek sizi dışarıya yönlendirme.
• Kod/şifre isteme veya "kurtarma" bahanesiyle bilgi toplama.

3) Doğrulama Protokolü: Güven Ama Teyit Et

Kırmızı bayrak fark edildiğinde en kritik hamle, doğrulama protokolünü başlatmaktır. Bu protokol, sosyal mühendisliğin panzehiri olarak düşünülebilir: duyguyu düşürür, kontrolü geri alır.

3.1. Kanal dışı teyit (out-of-band verification) nedir?

Kısa tanım: Talep hangi kanaldan geldiyse, o kanalı kullanmadan başka bir güvenilir kanaldan doğrulamaktır.

Neden önemli? Saldırgan genellikle tek bir kanalı kontrol eder (örneğin e-posta hesabı ele geçirilmiş olabilir). Aynı anda tüm bağımsız kanalları kontrol etmesi daha zordur. Modül 6'daki "IBAN değişikliği" veya "acil talimat" senaryolarında bu yöntem çoğu vakada oyunu bozar.

Örnek: Bir e-posta "Hesap bilgilerimiz değişti" diyorsa, e-postayı yanıtlamak yerine kayıtlı telefon numarasından arayıp doğrulamak.

Gerçek hayatta nerede görülür?

• Tedarikçi ödeme/hesap bilgisi değişikliği
• Yönetici adına acil talimat
• Banka/IT destek iddiaları
• Hesap kurtarma bildirimleri

Dikkat: Aynı mesajlaşma uygulamasında "başka bir hesaba sormak" her zaman kanal dışı sayılmaz. Kanal dışı teyitte bağımsızlık esastır (kayıtlı numara, resmi web sitesi, kurumsal bilinen iç kanal vb.).

3.2. Geri arama kuralı (callback rule) nedir? (Caller ID Spoofing'e karşı)

Kısa tanım: Şüpheli aramayı sonlandırıp resmi numarayı kendiniz tuşlayarak geri aramaktır.

Neden önemli? Caller ID Spoofing (numara sahteciliği) nedeniyle ekranınızda güvenilir bir numara görünse bile arayan kişi gerçek kurum olmayabilir. Geri arama kuralı, saldırganın kurduğu sahte hattı devre dışı bırakır.

Örnek: "Güvenliğiniz için görüşmeyi sonlandırıyorum. Resmi numaradan ben geri arayacağım." deyip kapatmak; sonra kurumun resmi sitesindeki numarayı kendiniz aramak.

Gerçek hayatta nerede görülür?

• Banka araması gibi görünen çağrılar
• IT destek gibi görünen çağrılar
• Hesap güvenliği bahanesiyle gelen aramalar

3.3. İki kişi kuralı (two-person rule / four-eyes principle) nedir?

Kısa tanım: Kritik işlemlerin (özellikle finansal işlemler ve erişim yetkisi verme) tek kişinin onayıyla yürütülmemesidir.

Neden önemli? Sosyal mühendislik "yalnız yakalanan kişiyi" hedefler. İkinci bir kişinin devreye girmesi hem kontrol katmanı ekler hem de Modül 2'deki otorite/aciliyet baskısının etkisini azaltır. Kurumsal dünyada bu yaklaşım "four-eyes principle" olarak da anılır.

Örnek: Bir "acil ödeme" talebi, ikinci bir yetkilinin onayı ve kanal dışı teyit olmadan uygulanmaz.

Gerçek hayatta nerede görülür?

• Muhasebe/finans ödeme süreçleri
• IBAN/hesap değişikliği işlemleri
• Admin rolü verme, erişim yetkisi atama
• Kritik doküman paylaşımı

3.4. "Bu normal mi?" kontrol soruları (eleştirel düşünme tetikleyicisi)

Kısa tanım: Karar anında duygusal tepkiyi yavaşlatıp mantıksal kontrol yaptıran kısa sorulardır.

Neden önemli? Modül 2'deki tetikleyiciler (korku, kıtlık, otorite, ödül) karar kalitesini düşürür. Bu sorular "duraklama" yaratır ve protokolü devreye sokar.

Kontrol soruları:

• Bu talep gerçekten benim görev alanım mı?
• Bu isteğin aciliyeti kanıtlanıyor mu, yoksa sadece söyleniyor mu?
• Kimlik doğrulaması yapmama izin veriyor mu, kaçınıyor mu?
• Bu işlem normalde hangi onay adımlarından geçer?
• Bağımsız bir kaynaktan teyit edebilir miyim?
• Bu mesaj bende panik/heyecan yaratıp hızlı hareket ettirmeye mi çalışıyor?

4) Hesap Güvenliği ve Hijyen Temelleri: Protokolün Teknik Dayanağı

Bu bölüm, doğrulama protokolünün "dijital ayağını" güçlendirir. Bir sonraki modülde olay anı adımlarını işlerken, burada kurduğunuz katmanlar size zaman kazandıran bariyerler olacaktır.

4.1. MFA/2FA (çok faktörlü doğrulama) neden kritiktir?

Kısa tanım: Girişte şifreye ek olarak ikinci bir kanıt (uygulama onayı, doğrulama kodu, güvenlik anahtarı vb.) istemektir.

Neden önemli? Şifre ele geçirilse bile ikinci faktör yoksa hesap erişimi zorlaşır. Ancak Modül 4'te gördüğünüz "kod söyle" tuzakları MFA'yı aşmaya çalışır; bu yüzden protokolün parçası kodu asla paylaşmamak ve kanıt yerine kanal değiştirmek olmalıdır.

Örnek: Şifreyi bilen saldırgan, telefonunuza gelen doğrulama kodunu alamıyorsa giriş yapamaz; ancak siz kodu paylaşırsanız ikinci bariyer de düşer.

4.2. Parola hijyeni ve parola yöneticileri (password manager)

Kısa tanım: Parolaların uzun, benzersiz, tekrar kullanılmayan ve güvenli saklanan şekilde yönetilmesidir. Parola yöneticileri bu işi sistematik hale getirir.

Neden önemli? Aynı parolanın birçok yerde kullanılması, tek bir sızıntıyı zincirleme hesap ele geçirmeye dönüştürür. Parola yöneticisi, her hesap için benzersiz "anahtarlar" üretmeyi kolaylaştırır. Ayrıca Modül 5'teki "not kağıdına şifre yazma" gibi fiziksel riskli alışkanlıklara karşı daha güvenli bir alternatiftir.

Örnek: Bir kişi her hesap için farklı uzun parola kullanır; hepsini bir parola yöneticisinde saklar ve yalnızca ana parolasını bilir.

5) Uygulanabilir Mini Protokoller: Kanal Bazlı "3 Hamle"

Bu bölüm, akılda kalıcılık için her kanal için kısa bir eylem seti sunar.

5.1. E-posta için 3 hamle

1. — Tıklamayı durdur, ek/dosyayı açma.
2. — Göndereni ve talebi bağımsız kanaldan teyit et.
3. — Şüpheliyi raporla/işaretle, benzer mesajlar için çevreni uyar.

5.2. Telefon için 3 hamle

1. — Kod/parola/kart bilgisi paylaşma.
2. — Görüşmeyi bitir, resmi numaradan geri ara (callback).
3. — Kurum içi bildirim yap, kayda geçir.

5.3. SMS/DM için 3 hamle

1. — Linke tıklama; servisi kendin açarak kontrol et.
2. — Kod/şifre verme; doğrulama kanalına geç.
3. — Taklit hesabı engelle/raporla; çevreni uyar.

5.4. Fiziksel ortam için 3 hamle

1. — Prosedürü nazikçe uygula: herkes kendi kartıyla giriş yapar.
2. — Ziyaretçi/refakat sürecine yönlendir.
3. — Şüpheli durum varsa güvenli şekilde uzaklaş ve yetkiliye bildir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Kırmızı bayrakların, farklı kanallarda (e-posta, telefon, SMS/DM, fiziksel) nasıl göründüğünü ve neden kritik olduğunu öğrendik.
• Kırmızı bayrakları fark etmenin tek başına yeterli olmadığını; doğrulama protokolünün “ne yapacağını” belirlediğini kavradık.
• Kanal dışı teyit yaklaşımıyla saldırganın kontrol ettiği iletişim kanalını etkisizleştirmeyi öğrendik.
• Geri arama kuralıyla numara sahteciliği riskine karşı kontrolü nasıl geri alacağımızı gördük.
• İki kişi kuralının (four-eyes principle) kritik işlemlerde hata ve manipülasyon riskini nasıl azalttığını öğrendik.
• MFA/2FA, parola hijyeni ve parola yöneticilerinin doğrulama protokolünü güçlendiren teknik katmanlar olduğunu anladık.
• Kanal bazlı “3 hamle” setleriyle günlük hayatta uygulanabilir savunma davranışlarını yapılandırdık.

MODÜL 8 — Olay Anı ve İlk Müdahale: "İlk 15 Dakika" Eylem Planı

Modül Teması

Bu modül, önceki modüllerde öğrendiğiniz saldırı türleri (oltalama, vishing/smishing, mesajlaşma tuzakları, fiziksel sosyal mühendislik) ve Modül 7'de kurduğunuz savunma omurgasına (kırmızı bayraklar + doğrulama protokolü) rağmen "yine de hata olduysa" ne yapacağınızı öğretir. Gerçek hayatta linke tıklanabilir, sahte sayfaya şifre girilebilir, bir dosya açılabilir veya bir görüşmede baskı altında bilgi paylaşılabilir. Bu noktada hedef; paniklemek değil, hasarı sınırlamak, kontrolü geri almak, doğru kişilere doğru bilgiyle bildirmek ve sonrasında daha dayanıklı hale gelmektir.

1) Olay Anı Mantığı: "Panik Değil, Sıralı Öncelik"

1.1. Güvenlik olayı (security incident) nedir?

Tanım: Bir hesabın, cihazın veya bilginin gizlilik-bütünlük-erişilebilirlik (CIA) boyutlarını etkileyebilecek şüpheli ya da doğrulanmış durumdur.

Neden önemli? Modül 3-6'da saldırıların çoğunun tek bir "tetik" ile başladığını gördünüz: link, kod, dosya, açık oturum... Olayı erken fark ederseniz, zarar büyümeden kontrolü geri alma şansınız artar. Modül 7'deki kırmızı bayraklar "olay öncesi" sinyallerdi; burada ise "olay başladıktan sonra" yapılacaklar var.

Örnek: Bir SMS'teki linke tıklayıp bir sayfaya girdiniz; ardından hesabınıza dair "yeni cihazdan giriş" bildirimi geldi.

Gerçek hayatta nerede görülür?

• E-posta/DM/SMS linkiyle sahte sayfaya yönlendirme
• Telefonda OTP/MFA kodu istenmesi ve paylaşılması
• Makrolu ek/dosya açma sonrası beklenmedik davranışlar
• Paylaşımlı cihazda oturum açık bırakma

1.2. "İlk 15 dakika" neden kritik?

Tanım: Saldırganın hızlı hareket ederek kalıcılık sağlamaya çalıştığı; sizin ise doğru hamlelerle hasarı sınırlayabildiğiniz en değerli zaman aralığıdır.

Neden önemli? Bu süre uzadıkça saldırgan "içeride kalma" (kalıcılık) şansı bulur: parola değiştirir, kurtarma e-postasını/numarasını günceller, yeni MFA ekler, para transferi dener. O yüzden Modül 7'deki "kanalı değiştir" refleksi burada "kontrolü geri al" refleksine dönüşür.

Örnek: Sahte sayfaya şifre girdikten hemen sonra parolayı değiştirip tüm oturumları kapatırsanız, saldırganın o şifreyle devam etmesi zorlaşır.

Gerçek hayatta nerede görülür? E-posta ele geçirilip diğer hesapların şifresinin sıfırlanması, kurumsal hesaplarda hızlı yetki değişiklikleri, finans uygulamalarında anlık işlem denemeleri.

1.3. Öncelik sırası: İnsan → Erişim → Hasar → Kayıt

Bu sıralama, karmaşada "neye önce dokunacağınızı" sabitler:

1. — İnsan/Güvenlik: Fiziksel tehdit, yoğun baskı, dolandırıcının yönlendirmesi varsa iletişimi kesin.
2. — Erişimi kesme: Oturum kapatma, cihazı ağdan ayırma, şüpheli etkileşimi durdurma.
3. — Hasarı sınırlama: Parola/MFA güvenliği, banka/kart riski, yetki değişikliklerini kontrol.
4. — Kayıt ve bildirim: Ne oldu, ne zaman oldu, nerede oldu bilgisini derleme ve raporlama.

Örnek: Telefonda baskı kuran kişi varken "kanıt istemek" yerine görüşmeyi bitirmeniz (insan/güvenlik), sonra resmi kanala dönmeniz (erişim/hasar) daha doğrudur.

1.4. Dwell Time (barınma süresi) neden önemlidir?

Tanım: Bir saldırganın sistemde/hesapta fark edilmeden kaldığı süre.
Neden önemli? Bu süre uzadıkça zarar büyür; saldırgan daha fazla veri toplar, daha çok hesabı etkiler, izlerini güçlendirir. Hızlı bildirim ve izolasyon, dwell time'ı kısaltmaya yardım eder.

2) Olay Türüne Göre Acil Eylem Planı: "Ne Oldu?"ya Göre Triyaj

Bu bölüm, Modül 6'daki senaryoların olay anına dönüşmüş hâlidir. Aynı saldırı farklı kanallardan gelse bile, olay türünü doğru sınıflandırmak müdahaleyi hızlandırır.

2.1. "Linke tıkladım" olayı

Tanım: Şüpheli bir linke tıklama; sahte sayfa, yönlendirme, dosya indirme veya oturum bilgisi toplama gibi sonuçlar doğurabilir.
Neden önemli? Linke tıklamak her zaman "anında felaket" değildir; kritik olan tıklama sonrası ne yaptığınız ve neyin tetiklenmiş olabileceğidir.

Örnek: "Hesabınız kapanacak" mesajındaki link sizi example.org benzeri görünen bir giriş sayfasına götürdü.

Gerçek hayatta nerede görülür? Kargo/abonelik/ödeme linkleri, "ödül kazandınız" mesajları, DM üzerinden "dosyaya bak" linkleri.

İlk müdahale adımları (sıralı):

1. — Sayfada bilgi girmeyi durdurun, sekmeyi kapatın.
2. — Tarayıcı indirmelerini kontrol edin: İndirilen dosya varsa çalıştırmayın.
3. — Eğer giriş yaptıysanız: parola değiştir + tüm oturumları kapat + MFA'yı kontrol et (Bölüm 3).
4. — Linki tekrar açmayın ve "bu mu?" diye başkalarına iletmeyin.
5. — Not alın: Link hangi kanaldan geldi, saat kaçtı, hangi cihazdaydınız?

İpucu: "Bir daha bakayım" diye linki tekrar açmak, riski büyütebilir. Önce erişimi kesin, sonra doğrulama/raporlama yapın.

2.2. "Bilgi paylaştım" olayı (credential harvesting / kimlik bilgisi toplama)

Tanım: Şifre, tek kullanımlık kod (OTP), kimlik doğrulama bilgisi veya kişisel bilgi gibi verilerin paylaşılmasıdır.
Neden önemli? Bu, saldırgana anahtar vermeye benzer. Özellikle OTP paylaşıldıysa saldırgan aynı anda giriş yapıyor olabilir.

Örnek: Sahte bir sayfaya kullanıcı adı/şifre girdiniz; hemen ardından "şifreniz değiştirildi" bildirimi geldi.

Gerçek hayatta nerede görülür? Sahte giriş sayfaları, "hesabınızı doğrulayın" formları, telefonla "güvenlik" bahanesi.

İlk müdahale adımları (sıralı):

1. — İletişimi kesin (arama/mesaj).
2. — Temiz bir cihazdan parolayı değiştirin (Bölüm 3.2).
3. — Tüm oturumları kapatın (Bölüm 3.1).
4. — MFA/2FA ayarlarını kontrol edin: yeni cihaz/uygulama eklenmiş mi? (Bölüm3.3)
5. — Kurtarma e-postası/telefonu değişmiş mi diye kontrol edin (Bölüm 3.4).
6. — Aynı parolayı başka yerde kullandıysanız, o hesaplarda da değiştirin.

Dikkat: "Sonra bakarım" yaklaşımı dwell time'ı uzatır; hızlı müdahale hasarı sınırlar.

2.3. "Dosya açtım / yazılım çalıştırdım" olayı (malware / RAT şüphesi)

Tanım: Şüpheli bir ek/dosyanın açılması veya çalıştırılması; zararlı yazılımın devreye girmesine ya da uzaktan erişime (RAT gibi) yol açabilir.
Neden önemli? Bu durumda sadece hesap değil cihaz ve bağlı olduğu ağ risk altına girebilir.

Örnek: E-postadan gelen dosyayı açtınız; kısa süreliğine komut penceresi göründü ve bilgisayar yavaşladı.

Gerçek hayatta nerede görülür? "Fatura" eki, "iş teklifi" dosyası, "güncelleme" diye indirilen çalıştırılabilir dosyalar.

İlk müdahale adımları:

1. — Ağ bağlantısını kesin: Wi-Fi kapatın veya ethernet kablosunu çıkarın (izolasyon). Bu, zararlının dışarıyla iletişimini ve yayılmayı azaltır.
2. — Cihazı rastgele kurcalamayın: Dosyayı silmek veya "bir şeyleri düzeltmeye çalışmak" izleri bozabilir.
3. — Cihazı hemen kapatma konusunda dikkatli olun: Birçok olay müdahale kılavuzu, delil kaybı riskine karşı kapamadan önce doğru izolasyon ve uzman yönlendirmesini önerir; bazı durumlarda güç kesmek yerine ağı kesmek tercih edilir.
4. — Kritik hesaplar açıksa, başka temiz bir cihazdan parolaları değiştirin ve oturumları kapatın.
5. — Kurumsal ortamdaysanız BT/SOC'ye bildirin; bireysel ortamda güvenilir bir güvenlik yazılımıyla tarama yapın veya uzman desteği alın.

İpucu: İzolasyon çoğu durumda "tek hamlede en büyük hasar azaltma" etkisini sağlar.

2.4. "Finansal veri / onay kodu paylaştım" olayı (vishing/smishing sonrası)

Tanım: Kart bilgisi, bankacılık bilgisi, OTP, uygulama onayı gibi finansal/kimlik doğrulama verilerinin paylaşılmasıdır.
Neden önemli? Bu, yetkisiz işlem riskini doğurur; dakikalar içinde transfer/alışveriş denenebilir.

Örnek: Telefonda "hesabınızı koruyoruz" diyen kişiye OTP söylediniz; sonra kartınızla küçük bir işlem bildirimi geldi.

Gerçek hayatta nerede görülür? Sahte banka aramaları, "kargonuz" SMS'iyle ödeme sayfası, "abonelik iptali" bahanesi.

İlk müdahale adımları (sıralı):

1. — Görüşmeyi/mesajı kesin.
2. — Bankanın resmi kanalına geçin (mobil uygulama veya resmi çağrı merkezi) ve kart/hesap için gerekli önlemleri başlatın (bloke, limit düşürme, şüpheli işlem bildirimi).
3. — Yetkisiz kart işlemleri varsa, bankanız üzerinden işlem itirazı (chargeback) süreçlerini sorup başlatın.
4. — Banka hesabı e-postanıza bağlıysa, e-postayı da güvenceye alın (Bölüm 3.2).

3) Hesap Ele Geçirme Şüphesi: "Kontrolü Geri Al" Prosedürü

Bu bölüm, Modül 7'deki MFA/parola hijyeni/kurtarma temellerinin olay anındaki karşılığıdır.

3.1. "Tüm cihazlardan çıkış" (log out everywhere) nedir?

Tanım: Hesabınızdaki tüm aktif oturumların tek hamlede sonlandırılmasıdır.
Neden önemli? Saldırgan parolayı bilse bile aktif oturumla içeride kalması zorlaşır.

Örnek: E-posta hesabınızdan "tüm cihazlardan çıkış yap" seçeneğini kullanmak.

Gerçek hayatta nerede görülür? E-posta sağlayıcıları, sosyal medya, bulut servisleri.

3.2. Parola değişimi: "Hangi sırayla?"

Tanım: Parolayı güvenli şekilde yenileme ve zincirleme ele geçirmeyi önleme adımıdır.
Neden önemli? Saldırgan e-postayı ele geçirdiyse, diğer hesapların sıfırlama e-postalarını da görebilir.

Önerilen sıra (genel mantık):

1. —Birincil e-posta hesabı (diğer hesapların ana anahtarıdır)
2. — Banka/ödeme ve kritik hesaplar
3. — Mesajlaşma ve sosyal medya
4. — Diğer servisler

Dikkat: Aynı parola birden fazla yerde kullanıldıysa, tek bir değişiklik yetmez.

3.3. MFA/2FA kontrolü: "Biri eklenmiş mi?"

Tanım: MFA yöntemleri, güvenilir cihazlar ve yedek doğrulama seçeneklerinin kontrolüdür.
Neden önemli? Saldırgan kalıcılık için kendi cihazını/uygulamasını ekleyebilir ya da kurtarma seçeneklerini değiştirebilir.

Örnek: MFA uygulaması listesinde tanımadığınız bir cihaz/uygulama görünmesi.

Gerçek hayatta nerede görülür? "Güvenilir cihazlar", "yeni cihaz eklendi" bildirimleri, kurtarma kodları.

3.4. Kurtarma yöntemleri (recovery) güvenliği

Tanım: Yedek e-posta, telefon, kurtarma kodları ve cihaz doğrulama gibi hesap geri alma mekanizmalarının güvenliğini sağlama.
Neden önemli? Saldırgan bazen doğrudan giriş yerine "şifremi unuttum" akışını hedefler.

Örnek: Kurtarma e-postasının artık kullanılmayan bir adreste kalması; kurtarma kodlarının herkesin erişebileceği bir yerde durması.

4) İzolasyon, Çevreleme ve Temizleme Mantığı

Bu adımlar, olay müdahalesinde "zararı büyütmeme" disiplinidir.

• Isolation (İzolasyon): Etkilenen cihazın ağ bağlantısını kesmek (Wi-Fi kapatma/kablo çıkarma).
• Containment (Çevreleme/Hasarı sınırlama): Saldırının yayılmasını durdurmak (oturumları kapatmak, yetkileri dondurmak, şüpheli işlemleri durdurmak).
• Eradication (Yok etme): Zararlıyı tamamen temizlemek (kurumsalda uzman ekiplerle; bireyselde güvenilir tarama/uzman desteği).
• Escalation (Eskalasyon): Olayı daha yetkili/uzman birime aktarmak (BT, SOC, banka dolandırıcılık hattı).

Dikkat: İzolasyon genellikle ilk ve en etkili hamledir; ancak cihazı kapatmanın delil etkisini ve kurum prosedürlerini hesaba katmak gerekir.

5) Raporlama ve Kanıt: "Ne Bildirmeliyim, Ne Toplamalıyım?"

5.1. Raporlama (reporting) nedir?

Tanım: Olayı ilgili kişi/kuruma doğru ve yeterli bilgiyle iletme sürecidir.
Neden önemli? Doğru rapor, yardım almayı hızlandırır ve aynı saldırının başkalarını vurmasını önleyebilir (Modül 7'deki "raporla" refleksi burada somutlaşır).

5.2. Kimlere bildirilir?

• Kurumsal: BT/IT, SOC (Güvenlik Operasyon Merkezi) veya yönetici/ilgili süreç sahibi

• Bireysel: Banka, kullandığınız platformun destek kanalı, kimlik/hesap güvenliği için gerekli resmi kanallar (duruma göre)

5.3. Minimum rapor şablonu (5N1K'nın güvenlik versiyonu)

• Ne oldu? (linke tıkladım / şifre girdim / OTP verdim / dosya açtım...)
• Ne zaman oldu? (tarih-saat)
• Nerede oldu? (hangi cihaz, hangi uygulama, hangi ağ)
• Nasıl oldu? (e-posta, SMS, DM, telefon...)
• Ne verdim / ne yaptım? (şifre, OTP, kart bilgisi, dosya çalıştırma...)
• Ne gözlemledim? (yeni cihaz uyarısı, şifre değişti bildirimi, şüpheli işlem...)

5.4. Kanıt/ek bilgi toplama (süreci hızlandıran teknik detaylar)

• Şüpheli e-postanın başlık (header) bilgileri
• Tıklanan linkin tam adresi (örn. <http://example.org/login-verify>)
• Ekran görüntüleri (içinde şifre/OTP olmadığından emin olarak)
• Dosya adı/konumu (açtıysanız neyle açtınız, saat kaçtı)

Dikkat: Rapor verirken yeni şifrenizi kimseyle paylaşmayın; teknik ekipler şifrenizi bilmeden de inceleme yapabilir.

6) Olay Sonrası: Recovery ve "Lessons Learned" (Ders Çıkarma)

Olay kontrol altına alındıktan sonra iki hedef vardır:

1. — Recovery (Kurtarma): Sistemleri/hesapları güvenli ve normal hâle döndürmek (parolalar, MFA, cihaz temizliği, yetkiler).
2. — Lessons Learned (Ders çıkarma): Aynı olayın tekrarını engellemek için savunmayı güncellemek. Bu, Modül 7'deki savunma omurgasını geliştirmek demektir:

• a. Hangi kırmızı bayrak kaçırıldı?
• b. Doğrulama protokolünde hangi adım atlandı?
• c. Hangi süreç daha net olmalı (ör. finansal onay, dosya açma politikası, eğitim ihtiyacı)?

Örnek: Bir ekip "acil ödeme" senaryosunda yanlış adım attıysa, iki kişi kuralını ve kanal dışı teyidi (Modül 7) süreçlere daha görünür biçimde yerleştirmek gerekir.

Terimler Sözlüğü

Kendini Değerlendir

Bu Modülde Kazanılan Yetkinlikler

• Güvenlik olayının ne olduğunu ve hangi belirtilerin “olay” şüphesi doğurduğunu öğrendik.
• Olay anında panik yerine önceliklendirme ile hareket etmeyi ve ilk 15 dakikanın neden kritik olduğunu kavradık.
• Linke tıklama, şifre/OTP paylaşma, dosya açma ve finansal veri paylaşımı gibi olay türlerine göre doğru ilk müdahale adımlarını öğrendik.
• Hesap ele geçirme şüphesinde tüm oturumları kapatma, parola değişim sıralaması, MFA/2FA ve kurtarma yöntemlerini güvenceye alma süreçlerini öğrendik.
• Cihaz şüphesinde izolasyonun (ağ bağlantısını kesmenin) hasarı sınırlamadaki rolünü ve delil/kayıt mantığını korumayı öğrendik.
• Raporlamada minimum gerekli bilgileri ve teknik kanıtları (URL, e-posta header) doğru biçimde derlemeyi öğrendik.
• Olay sonrası “recovery” ve “lessons learned” yaklaşımıyla savunmayı kalıcı biçimde güçlendirme mantığını kavradık.