Verizon'un her yıl yayımladığı Data Breach Investigations Report, yıllardır aynı gerçeği tekrar ediyor: veri ihlallerinin büyük çoğunluğu insan faktörünü içeriyor ve bu faktörün başında e-posta geliyor. Fidye yazılımı bulaştıran link, kimlik bilgilerini çalan sahte giriş formu, milyonluk havale talimatı içeren kurumsal dolandırıcılık — tümünün ortak noktası, kurbanın gelen kutusuna düşen bir e-posta. Teknik savunmalar ne kadar gelişirse gelişsin, bir çalışanın yanlış tıklaması her şeyi başa sarar.
Phishing Nasıl Tanınır?
Kimlik avı e-postalarının ilk ve en önemli işareti, gönderen alan adıdır. Görünen isim kolaylıkla sahte yazılabilir; asıl e-posta adresine bakın. [email protected], [email protected] ya da [email protected] gibi adresler, görsel olarak inandırıcı olmakla birlikte gerçek alan adından farklıdır.
Aciliyet dili klasik bir manipülasyon aracıdır. "Hesabınız 24 saat içinde kapatılacaktır", "Acil güvenlik bildirimi", "Hemen onay gerekiyor" gibi ifadeler, alıcıyı düşünmeden hareket etmeye zorlamak amacıyla kullanılır. Meşru şirketler bu dili nadiren kullanır.
Şüpheli bağlantılar için fare imlecini linkin üzerine getirin ve tıklamadan önce durum çubuğunda görünen gerçek URL'yi kontrol edin. Kısaltılmış URL'ler (bit.ly, t.co) bu yöntemi işe yaramaz kılabilir; bu tür linklere doğrudan tıklamak yerine URL genişletme servisleri kullanılabilir. E-posta gövdesindeki "Buraya tıklayın" butonunun arkasındaki adres, metnin içerdiği firmadan tamamen farklı bir domain olabilir.
Genel bir kural olarak şunu kabul edin: beklemediğiniz bir e-postada link varsa tıklamayın. Söz konusu banka, kargo veya servis sağlayıcısının web sitesini doğrudan tarayıcınıza yazarak gidin.
Spear Phishing ve Whaling
Toplu gönderilen kimlik avı e-postalarının aksine, spear phishing belirli bir kişiyi veya kurumu hedef alır. Saldırgan önceden araştırma yapar: LinkedIn profili, şirket web sitesi, sosyal medya paylaşımları incelenir. E-posta, alıcının adını, pozisyonunu, yakın çalışma arkadaşını ya da güncel proje isimlerini içerir. Bu düzeyde kişiselleştirme, spam filtreleri ve insan dikkatini aynı anda atlatabilir.
Whaling (CEO dolandırıcılığı olarak da bilinir), spear phishing'in üst düzey yöneticilere veya finans yetkililerine yönelik versiyonudur. Tipik senaryo şudur: muhasebe departmanı çalışanı, CEO'su gibi görünen bir e-posta alır. E-posta acil bir havale talebini içerir ve "bu konuyu kimseyle paylaşmayın, gizli bir satın alma işlemi" gibi sosyal baskı unsurları barındırır. Bu saldırılardan kaynaklanan küresel mali zarar, milyarlarca doları aşmaktadır.
E-posta Kimlik Doğrulaması: SPF, DKIM, DMARC
Alan adı sahibi olarak e-posta kimlik doğrulamasını kurmak, başkalarının alanınızı taklit etmesini zorlaştırır ve sizi de başkalarının taklit ettiği kurbanlardan biri olmaktan korur.
SPF (Sender Policy Framework): Alan adınız adına hangi sunucuların e-posta gönderebildiğini DNS kaydıyla bildirir. Alıcı sunucu, gelen e-postanın bu listeden gelip gelmediğini kontrol eder.
# Örnek SPF DNS kaydı (TXT kayıt türü)
v=spf1 include:_spf.google.com include:mailjet.com ~all
# ~all = softfail (geçmezse spam olarak işaretle)
# -all = hardfail (geçmezse reddet)DKIM (DomainKeys Identified Mail): Gönderen sunucu, her e-postayı özel anahtarıyla imzalar. Alıcı, DNS'teki genel anahtarla bu imzayı doğrular. Mesajın iletim sırasında değiştirilmediğini kanıtlar.
DMARC (Domain-based Message Authentication, Reporting and Conformance): SPF ve DKIM kontrollerinden herhangi biri başarısız olduğunda ne yapılması gerektiğini belirtir. p=quarantine spam klasörüne gönderir; p=reject mesajı tamamen reddeder. Ayrıca başarısız girişimleri raporlayarak kötüye kullanım tespiti sağlar.
# Örnek DMARC DNS kaydı
v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100Google, Microsoft ve Yahoo gibi büyük e-posta sağlayıcıları, 2024'ten itibaren toplu posta gönderenler için DMARC uyumunu zorunlu kılmıştır.
Şifreli E-posta
Standart e-posta, iletim sırasında şifrelense bile (TLS), e-posta servis sağlayıcısının sunucularında okunabilir biçimde bulunur. Gerçek uçtan uca şifreleme için farklı çözümler gerekir.
ProtonMail ve Tuta (eski adıyla Tutanota): Sıfır erişim şifreleme ilkesiyle çalışan bu servisler, e-postaları sunucularında şifreli saklayarak sağlayıcının içeriklere erişimini engeller. Aynı servisi kullanan alıcılarla otomatik uçtan uca şifreleme sağlanır; farklı servislerle şifreli iletişim için ek adımlar gerekir.
S/MIME: Kurumsal ortamlarda yaygın kullanılan bir standart. Dijital sertifika altyapısına (PKI) dayanır; Outlook ve Apple Mail gibi istemcilerde yerleşik destek bulunur.
PGP (Pretty Good Privacy): Açık anahtar kriptografisi kullanan, merkezi bir otorite gerektirmeyen güçlü bir sistemdir. Doğru kurulduğunda son derece güvenlidir; ancak kurulum ve anahtar yönetimi teknik bilgi gerektirir. Gazeteciler, aktivistler ve yüksek riskli profiller için uygundur.
İş Yerinde E-posta Güvenliği
BEC (Business Email Compromise), FBI'ın her yıl yayımladığı siber suç raporunda mali zarar açısından en büyük kategoriyi oluşturmaktadır. Saldırı genellikle şu şekilde ilerler: çalışan hesabı ele geçirilir veya alan adı taklit edilir, ardından finans departmanına gerçekmiş gibi görünen ödeme talimatı gönderilir.
Bu saldırıya karşı en etkili önlem, bant dışı doğrulamadır: büyük ödemeler veya hesap değişikliklerinde e-posta yetmez, telefon veya yüz yüze onay zorunlu tutulmalıdır. Finans ve muhasebe ekiplerine düzenli BEC simülasyonları yapılması, farkındalığı önemli ölçüde artırır.
2023 yılında Avrupa'da faaliyet gösteren bir lojistik firmasının muhasebe müdürü, CEO'suna ait gibi görünen bir e-posta aldı. E-posta, gizli bir tedarikçiyle yapılan acil anlaşma için 180.000 Euro'nun yurt dışındaki bir hesaba aktarılmasını talep ediyordu. Gönderen adresi orijinalden tek harf farklıydı; e-posta firmanın kurumsal imza şablonunu kullanıyordu. Transfer onaylandı ve geri alınamadı. Tek bir onay telefonu bu kaybı önleyebilirdi.
Pratik Güvenlik Alışkanlıkları
E-posta hesabınız için güçlü, benzersiz bir parola ve mutlaka iki faktörlü kimlik doğrulama (2FA) etkinleştirin. E-posta hesabınız ele geçirilirse, "şifremi unuttum" akışı sayesinde diğer tüm hesaplarınıza da erişilebilir; dolayısıyla e-posta güvenliği her şeyin temelini oluşturur.
E-posta istemcinizde HTML görüntülemeyi devre dışı bırakmayı düşünün. Uzak içeriklerin (görüntüler, piksel takipçiler) otomatik yüklenmesi, e-postanın açıldığını gönderene bildirir ve IP adresinizi ifşa eder. Gmail ve Outlook'ta bu ayar, görüntülerin onay alınmadan yüklenmesini engeller.
Ek açma konusunda sıfır güven yaklaşımı benimseyin. .docx, .xlsx ve .pdf dosyaları makro veya JavaScript içerebilir. Beklenmedik ekler için Google Drive'ın önizleme özelliği ya da online sandbox araçları (Any.run, Hybrid Analysis) kullanılabilir. Zip arşivlerinin parola korumalı gönderilmesi, güvenlik araçlarını atlatmak için sıkça kullanılan bir tekniktir; bu tür eklere ekstra şüpheyle yaklaşın.