Ankara'da bir muhasebe firmasında çalışan Kemal Bey, sabah işe geldiğinde bilgisayarının masaüstünde garip bir metin dosyası buldu. Dosyada sadece şu yazıyordu: "Tüm verileriniz şifrelendi. 48 saat içinde 3 Bitcoin ödeyin." Şirketteki 12 yıllık müşteri veritabanı, tüm mali kayıtlar, sözleşmeler — hepsi gitmişti. Sonradan yapılan incelemede anlaşıldı ki saldırgan aylarca önce Kemal Bey'in "muhasebe yazılımı güncellemesi" kılığına girmiş bir e-posta eki aracılığıyla sisteme sızmıştı. Kimse fark etmemişti. Bu hikaye maalesef giderek daha sıradan hale geliyor.
Siber tehditler artık yalnızca büyük şirketleri ya da hükümetleri hedef almıyor. Bireysel kullanıcılar, küçük işletmeler, hatta emekliler bile hedef listesinde. Peki kendinizi gerçekten nasıl korursunuz? Sloganlardan değil, pratikte işe yarayan yöntemlerden bahsedelim.
Parola Güvenliği ve Yöneticileri
Güvenlik araştırmacıları her yıl sızdırılan parola veritabanlarını analiz ediyor ve tablo hiç değişmiyor: en yaygın parolalar arasında "123456", "password" ve Türkiye'de sıkça görülen "123456789" yer alıyor. Ama asıl sorun basit parola kullanmak değil — aynı parolayı birden fazla yerde kullanmak.
Düşünün: bir e-ticaret sitesinin veri tabanı sızdırıldığında, saldırganlar o e-posta/parola kombinasyonunu Gmail'de, internet bankacılığında ve sosyal medyada deniyor. Bu saldırı türüne credential stuffing deniyor ve son derece etkili. Çözüm, her hesap için farklı ve rastgele uzun bir parola kullanmak. Bunu insanın aklı tutamaz; bu yüzden parola yöneticileri var.
Başlıca Parola Yöneticileri
Bitwarden, açık kaynaklı yapısıyla şeffaflığı ön planda tutuyor. Ücretsiz planı bile tüm temel özellikleri kapsıyor; ücretli plan yıllık yaklaşık 10 dolar. Kod tabanı bağımsız güvenlik denetimlerinden geçiyor ve sunucularına güvenmek istemeyenler için self-hosted seçeneği mevcut.
1Password, özellikle kurumsal kullanım ve Apple ekosistemi için öne çıkıyor. Arayüzü son derece kullanıcı dostu; "Travel Mode" gibi seyahat sırasında belirli kasaları gizleyebileceğiniz özgün özellikler sunuyor. Aylık 3 dolar gibi bir ücret istiyor.
KeePass, yerel depolama tercih edenler için saf açık kaynaklı bir seçenek. Hiçbir şeyi buluta göndermiyor; tüm veri bilgisayarınızda şifreli bir dosyada tutuluyor. Kullanımı diğerlerine kıyasla biraz daha teknik; ancak maksimum gizlilik isteyenler için ideal.
Parola yöneticisi kurmak yetmez; master parolanızın gerçekten güçlü olduğundan emin olun. "Doğru at pil zımba" gibi birden fazla rastgele kelimeden oluşan bir parola cümlesi (passphrase) hem hatırlaması kolay hem de kırılması son derece zor.
VPN: Ne Zaman Gerçekten Gerekli?
VPN reklamları her yerde: YouTuber'lar, podcast'ler, banner'lar. "Tamamen anonim ol!", "Hackerlardan korun!" — bunların büyük bölümü pazarlama söylemi. VPN'in ne yaptığını ve ne yapmadığını anlamak önemli.
VPN, trafiğinizi şifreleyerek internet servis sağlayıcınızın (ISS) nereye bağlandığınızı görmesini önlüyor ve IP adresinizi maskeliyor. Gerçekten faydalı olduğu durumlar:
- Halka açık Wi-Fi'da: Havalimanı, kafe veya otel ağlarında trafiğiniz kolayca dinlenebilir. VPN bu riski önemli ölçüde azaltır.
- Coğrafi kısıtlamaları aşmak: Bölgesel içerik kısıtlamalarını aşmak için meşru bir araç.
- Kurumsal ağlara uzaktan erişim: Şirket ağına güvenli bağlanmak için tasarlanmış kullanım senaryosu.
VPN'in sizi korumadığı durumlar: Ziyaret ettiğiniz sitelere karşı tam anonimlik sağlamaz. Google, Facebook ve benzeri siteler sizi çerezler ve parmak izi teknikleriyle tanımaya devam eder. Kötü amaçlı yazılımlara, kimlik avına veya zayıf parolalara karşı hiçbir koruma sağlamaz. Ücretsiz VPN'lerin çoğu trafiğinizi kaydedip satar — yani güvendiğinizi sandığınız araç sizi izliyor olabilir.
Ticari VPN seçecekseniz ProtonVPN veya Mullvad gibi bağımsız denetimden geçmiş, kayıt tutmama politikasını (no-log policy) belgelenmiş şekilde kanıtlamış sağlayıcıları tercih edin.
Antivirüs mi, EDR mi?
Geleneksel antivirüs yazılımları imza tabanlı çalışır: bilinen kötü amaçlı yazılımların parmak izlerini bir veritabanında tutar ve eşleşme arar. Bu yaklaşım, hiç görülmemiş (zero-day) tehditlere karşı son derece yetersiz kalıyor.
EDR (Endpoint Detection and Response) çözümleri ise davranış tabanlı analiz yapar. Bir yazılımın ne yaptığına bakarak şüpheli aktiviteyi tespit eder: anormal dosya şifrelemesi, yetkisiz ağ bağlantıları, yetki yükseltme girişimleri gibi. Kurumsal dünyada CrowdStrike Falcon ve Microsoft Defender for Endpoint bu kategorinin önde gelenlerinden.
Peki sıradan kullanıcı ne yapmalı? Windows Defender (Microsoft Defender Antivirus), 2026 itibarıyla gerçek anlamda rekabetçi bir ücretsiz seçenek haline geldi. AV-TEST ve AV-Comparatives bağımsız testlerinde düzenli olarak yüksek puanlar alıyor. Windows kullanıyorsanız ve ek bir güvenlik yazılımı kurmayı düşünmüyorsanız, Defender'ın aktif ve güncel olduğundan emin olmak çoğu senaryo için yeterli.
Ek bir katman isteyenler için Malwarebytes iyi bir tamamlayıcı: özellikle reklam yazılımı ve tarayıcı ele geçirme konusunda Defender'ı tamamlıyor. Birlikte kullanılabiliyorlar.
Güvenlik Duvarı ve Ağ Segmentasyonu
Ev ağınız düşündüğünüzden çok daha karmaşık bir saldırı yüzeyi. Bilgisayarınızın yanı sıra akıllı TV, robot süpürge, akıllı ampul, IP kamera ve kapı zili — bunların hepsi aynı ağda. Bu cihazların birçoğu güvenlik güncellemesi almayı çoktan bırakmış olabilir ya da fabrika çıkışı zayıf parolalarla gönderilmiştir.
Router güvenliği için temel adımlar:
- Router yönetici panelinin varsayılan parolasını değiştirin (admin/admin kombinasyonu hâlâ milyonlarca cihazda kullanılıyor).
- Firmware güncellemelerini düzenli olarak kontrol edin veya otomatik güncellemeyi açın.
- WPS özelliğini kapatın — brute force saldırılarına karşı savunmasız.
- Misafir ağı (guest network) oluşturun ve IoT cihazlarını bu ağa bağlayın. Bu sayede akıllı ampulünüz ele geçirilse bile ana bilgisayarınıza erişim açılmaz.
Daha ileri gitmek isteyenler için pfSense veya OPNsense gibi açık kaynaklı güvenlik duvarı yazılımları ev ortamında da kurulabilir. Ancak bunlar teknik bilgi gerektiriyor.
Sosyal Mühendislik Farkındalığı
Saldırıların büyük çoğunluğu bir teknik açıktan değil, insandan başlıyor. Sosyal mühendislik, kişiyi kandırarak gizli bilgiyi veya erişimi elde etme sanatıdır. En yaygın türleri:
Pretexting: Saldırgan sahte bir kimlik ve senaryo oluşturur. "Merhaba, IT departmanından arıyorum, hesabınızda şüpheli bir aktivite tespit ettik, parolanızı doğrulamamız gerekiyor." — bu kadar basit ve bu kadar etkili. Gerçek IT departmanları asla telefonda veya e-posta ile parola istemez.
Baiting: Merak duygusunu sömürür. Şirket otoparkına bırakılan USB bellekler (içinde "Maaş Listesi 2026.exe" gibi cazip isimler olan dosyalarla) kurbanın kendi bilgisayarına taktırmayı hedefler. Bu saldırı yöntemi laboratuvar testlerinde %45-60 başarı oranı göstermiştir.
Vishing (sesli kimlik avı): Telefon üzerinden gerçekleştirilen dolandırıcılık. Türkiye'de özellikle bankacılık temalı vishingde artış var. Saldırgan bankanın numarasını taklit ederek (caller ID spoofing) arayıp kart bilgisi veya SMS kodunu isteyebiliyor.
Bu saldırıları fark etmek için altın kural: aciliyet hissi ve baskı uyarı işaretidir. Meşru kurumlar sizi panikletmez. Şüphelendiğinizde kurumun resmi numarasını kendiniz arayın.
Olay Müdahale Planı
Her şeye rağmen bir saldırıya uğrayabilirsiniz. Panik yapmadan atılacak adımlar:
- Cihazı ağdan hemen ayırın. Kablolu bağlantıyı çekin veya Wi-Fi'yi kapatın. Bu, saldırganın diğer cihazlara sıçramasını ve veri sızdırmayı sürdürmesini engeller.
- Parolaları başka bir cihazdan değiştirin. Önce e-posta, sonra bankacılık, sonra diğer kritik hesaplar. Etkilenen cihazı kullanmayın.
- İki faktörlü kimlik doğrulamayı etkinleştirin. Hesapları kurtarırken mutlaka açın.
- Yedeği geri yükleyin. Elinizde taze bir yedek varsa fidye yazılımı bile büyük ölçüde etkisiz kalır. Yedek yoksa bu, sahip olunması gereken en öncelikli şeydir.
- Yetkililere bildirin. Türkiye'de siber suçlar için BTK ve savcılığa suç duyurusunda bulunabilirsiniz. Banka hesabı ele geçirildiyse bankanızı hemen arayın.
- Sistemi temizleyin veya sıfırlayın. Enfekte bir sistemde kalıntı bırakmamak için fabrika sıfırlaması genellikle en güvenli yol.
HaveIBeenPwned (haveibeenpwned.com) — e-posta adresinizin veri ihlallerinde yer alıp almadığını kontrol edin. VirusTotal (virustotal.com) — şüpheli bir dosyayı veya URL'yi 70'ten fazla antivirüs motoruyla taratın. ShieldsUP (grc.com/shieldsup) — yönlendiricinizin açık portlarını ve dışarıdan görünürlüğünü test edin. Üçü de tamamen ücretsiz ve kayıt gerektirmiyor.
2024 yılının sonlarında İzmir merkezli bir lojistik şirketi, tek bir kimlik avı e-postası nedeniyle 11 gün boyunca operasyonlarını durdurmak zorunda kaldı. Çalışanlardan birinin açtığı sahte "fatura" PDF'si, ağdaki tüm paylaşımlı sürücüleri şifreledi. Şirketin yedeği vardı — ama yedekler de aynı ağa bağlıydı ve onlar da şifrelendi. Sonuç: 180.000 TL fidye ödemesi ve haftalar süren toparlanma süreci. Yedeklerinizi ağdan izole edin.