Kimlik avı girişimi, saldırganların kurumsal ağlara erişim sağlamak için en sık başvurduğu yöntemlerden biri olmaya devam etmektedir. Günlük meşru iş iletişimlerini taklit ettiği için değerli iş bilgilerinin fark edilmeden toplanması adına ideal bir tekniktir. Birleşik Krallık hükümetinin Siber Güvenlik İhlalleri Anketi 2025 raporunda, olayları tanımlayan işletmeler tarafından bildirilen en yaygın ihlal veya saldırı türü yüzde 85 ile kimlik avı girişimi olmuştur ve bu da genel olarak tüm işletmelerin yüzde 37’sine tekabül etmektedir.
Farkındalık eğitimi sadece bir uyumluluk görevi değil, kurumsal bir zorunluluk olmalıdır. Başarılı bir kimlik avı girişimi; kimlik doğrulama bilgilerini açığa çıkarabilir, dâhilî sistemlere erişim sağlayabilir ve tek bir çalışanın gelen kutusunun çok ötesine yayılan sorunlar yaratabilir.
Sorun şu ki kimlik avı girişimi yöntemleri sürekli değişmesine rağmen birçok kuruluş hâlâ tek seferlik farkındalık çabalarına güveniyor. Daha etkili bir program, çalışanlara tekrarlanan uygulamalar, daha net raporlama alışkanlıkları ve hataların etkisini azaltan destekleyici denetimler sağlayabilir.
İş bağlamında kimlik avı girişimi neye benzer?
Kurumsal kimlik avı girişimi, yazım hatalarıyla dolu bariz sahte e-postaların ötesine geçti. Uygulamada, çalışanların aşağıdakiler gibi gerçekçi görünen girişimlerle karşılaşma olasılığı çok daha yüksektir:
- Hesap doğrulama istemleri
- Paylaşılan belge bildirimleri
- Yaygın iş platformları için oturum açma sayfaları
- Fatura onayları
- İK güncellemeleri
- Güvenilir tedarikçilerden veya dâhilî yöneticilerden gelen iletiler.
Bir ekip üyesi yanıt verirse saldırganlar; özellikle hedef odaklı kampanyalarda iletileri daha ikna edici ve gerçekçi kılmak için çalışanlar veya şirketler hakkında topladıkları bilgileri kullanabilirler.
Hedef odaklı kimlik avı girişimi, yönetici taklidi ve kimlik doğrulama bilgileri toplama
Kimlik avı girişimi farkındalık eğitimi, ekipleri aynı anda birkaç desene karşı hazırlamalıdır. Hedef odaklı kimlik avı girişimi, kimlik avı girişiminin en yaygın varyasyonlarından biridir. Saldırgan, binlerce alıcıya genel bir ileti göndermek yerine, e-postayı belirli bir role, projeye, meslektaşa veya tedarikçi ilişkisine göre özelleştirir.
İleti, çalışanın gerçekçi bir şekilde görmeyi bekleyeceği bir şey etrafında oluşturulduğu için makul hissettirir. Bu tür bir hedefleme, şirket sitelerinden, genel profillerden veya diğer çevrim içi kaynaklardan toplanan bilgilerle genellikle daha ikna edici hale getirilir.
Kimlik avı girişiminin bir başka varyasyonu, bazen CEO dolandırıcılığı olarak da adlandırılan yönetici taklididir. Burada saldırgan, normal doğrulama süreçleri izlenmediği sürece personeli para veya bilgi aktarmaya zorlamak amacıyla; bir ödeme, dosya veya kimlik doğrulama bilgileri talebi etrafında aciliyet yaratmak için üst düzey bir lideri veya önemli bir paydaşı taklit eder.
Üçüncü bir desen ise kimlik doğrulama bilgileri toplamadır. Bu saldırılarda çalışan; kullanıcı adlarını, parolaları ve hatta bazen tek kullanımlık parola (OTP) kodlarını ele geçirmek için tasarlanmış sahte bir oturum açma sayfasına yönlendirilir.
Kimlik avı girişimi eğitimi, genel tavsiyeler vermek yerine gerçek iş akışlarını yansıtmalıdır. Birçok kimlik avı girişimi sayfası, çalışanların halihazırda her gün kullandığı araçlara benzeyecek şekilde oluşturulur.
Rutin iş iletileri neden bu kadar etkilidir?
Kimlik avı girişimi, günlük operasyonlarla sık sık harmanlandığı için kuruluşlarda etkisini korumaktadır. Sahte bir oturum açma isteminin, birinin otomatik pilotta hareket etmesine yetecek kadar tanıdık gelmesi yeterlidir. Aynı durum tedarikçi iletileri, paylaşılan belge bildirimleri veya acil dahili talepler için de geçerlidir.
Bu nedenle eğitim sadece şüpheli ifadelere veya kötü dil bilgisine odaklanmamalıdır. Çalışanların ayrıca saldırganların normal çalışma yöntemlerini nasıl kötüye kullandığını da anlamaları gerekir. Kuruluşunuzun nasıl çalıştığını ve özellikle para, kimlik doğrulama bilgileri veya hassas bilgiler söz konusu olduğunda, personelin normal süreçlerin dışındaki talepleri tanımasına nasıl yardımcı olabileceğinizi düşünün.
Yakın zamandaki ele geçirilme örnekleri
Yakın zamandaki ele geçirilme bildirimleri, işletmeler içindeki kimlik avı girişiminin artık basit gelen kutusu dolandırıcılıklarının çok ötesine geçtiği noktasını pekiştiriyor.
Proton’un Veri Ele Geçirilme Gözlemevi‘ne göre, tebrik kartı şirketi Hallmark Cards, ShinyHunters olarak bilinen suçlu şantajcı hacker grubu tarafından hedeflendi. Grup, Hallmark Cards’a ait kayıtları Salesforce’tan elde etti ve işletmeye uyması gereken bir şantaj mühleti verdi. Sonuç olarak grup, 2,8 milyon benzersiz kaydı sızdırdı.
ShinyHunters, son aylarda birçok yüksek profilli işletmeyi hedef alan üretken bir gruptur. Ocak 2026’da giyim markası Canada Goose, yaklaşık 600.000 müşteri kaydının ele geçirilmesiyle ilişkilendirildi. Veriler, Ağustos 2025’te meydana gelen bir üçüncü taraf ele geçirilmesinden kaynaklanmıştır.
Bu örnekler yararlıdır çünkü kimlik avı girişiminin iş ortamlarında şu an nasıl göründüğünü gösterir: Sadece gelen kutusu aldatmacası değil; yüklenicileri, kimlik sistemlerini, dahili erişimi ve kuruluşların her gün güvendiği güven ilişkilerini hedef alan saldırılar.
Farkındalık neden tek başına yeterli değildir?
Kimlik avı girişimi farkındalığı önemlidir ancak tek başına yeterli değildir. Çalışanlar sadece bilgi eksikliği nedeniyle hata yapmazlar. Ayrıca meşgul, dikkatleri dağılmış, baskı altında oldukları veya bir kimlik avı girişimi iletisinin ilk bakışta kolayca meşru görünebileceği iş akışlarında hızlı hareket ettikleri için de hata yaparlar.
Bu nedenle eğitim, her çalışanın her kimlik avı girişimini fark edebileceği fikri üzerine kurulmamalıdır. Kuruluşlar sadece kullanıcı tespitine güvenemezler. Bazı saldırılar yine de sızacaktır; bu da teknik kontrollerin, temiz süreçlerin ve kullanıcı eğitiminin birlikte çalışması gerektiği anlamına gelir.
Daha güçlü bir kimlik avı girişimi farkındalık eğitimi programı bu gerçeklik üzerine kurulur. Çalışanların yaygın uyarı işaretlerini tanımasına, bir şeyler ters gittiğinde duraklamasına, hızlıca raporlamasına ve bir hatanın kontrol altına alınmasını kolaylaştıran sistemler dahilinde çalışmasına yardımcı olur. Ayrıca olay müdahalesine doğal bir şekilde bağlanır.
Birisi kötü amaçlı bir bağlantıya tıklarsa veya kimlik doğrulama bilgilerini paylaşırsa, kuruluşun hızlı ve net bir yanıt yoluna ihtiyacı vardır. Çalışanlar bir bildirim yapıldıktan sonra ne olacağını ve kendilerinin hangi rolü oynayacağını bildiklerinde eğitim çok daha etkili hale gelir. Proton’un olay müdahalesi kılavuzu, kuruluşunuzun bir plan oluşturmasına yardımcı olabilir.
Etkili bir kimlik avı girişimi farkındalık eğitimi programı nasıl görünür?
Etkili bir kimlik avı girişimi farkındalık eğitimi programı, tek bir yıllık oturum ve birkaç eski örnek etrafında kurulmaz. Süreklidir, pratiktir ve insanların gerçekte çalışma şekline göre tasarlanmıştır. Bu; düzenli pekiştirme, gerçekçi senaryolar ve çalışanların zamanla daha iyi yargı geliştirmelerine yardımcı olan geri bildirimler anlamına gelir.
Uygulamada, kimlik avı girişimi farkındalığı birden fazla aşamada görünmelidir. Çalışanların bir kez görüp unutacağı bir şey değil; işe alıştırma sürecinin, yenileme eğitiminin, kısa senaryo tabanlı hatırlatıcıların ve olay incelemelerinin bir parçası olmalıdır. Ayrıca gerçek maruziyeti de yansıtmalıdır.
Faturalar, yönetici desteği, tedarikçi iletişimi, ayrıcalıklı erişim veya hassas kayıtlarla uğraşan birinin, daha düşük riskli bir iş akışındaki birine göre farklı türde kimlik avı girişimi baskılarıyla karşılaşması muhtemeldir. NCSC’nin kimlik avı girişimi kılavuzu, hassas bilgilere, finansal varlıklara veya BT sistemlerine erişimi olan personelin daha yoğun bir şekilde hedeflenebileceğini belirterek bu gerçeği yansıtmaktadır.
Uygulamanın da iyi kullanılması gerekir. Simüle edilmiş kimlik avı girişimi yararlı olabilir ancak bir suçlama egzersizine dönüştüğünde değil. Kötü yönetilen simülasyonlar, insanlar desteklenmek yerine yakalandıklarını hissederlerse güvene zarar verebilir ve hataları bildirmekten caydırabilir.
Daha güçlü bir program simülasyonları dikkatli kullanır, anında geri bildirim verir ve zorluğu kademeli olarak artırır. Çalışanların kolayca kandırılabileceğini kanıtlamaya çalışmaz. Onların desen tanıma becerisi, raporlama alışkanlıkları ve gerçek durumlarda daha fazla güven oluşturmalarına yardımcı olur.
Çalışanların hâlâ gözden kaçırdığı beş kimlik avı girişimi tehlike işareti
Birçok çalışan klasik uyarı işaretlerini bilir ancak gerçek iş saldırılarında ortaya çıkan daha ince ipuçlarını hâlâ gözden kaçırmaktadırlar. Kimlik avı girişimi farkındalık eğitimi, insanlara günlük işlerine uyan kalıpları nasıl tanıyacaklarını öğrettiğinde çok daha faydalı olur.
1. İş akışıyla eşleşen ancak kanalı veya aciliyeti değiştiren bir ileti
En etkili kimlik avı girişimi e-postaları hiç de rastgele görünmez. Bunlar; çalışanların almayı beklediği fatura taleplerine, paylaşılan belgelere, maaş bordrosu güncellemelerine veya oturum açma bildirimlerine benzer.
Değişen şey aciliyet, gizlilik veya süreçtir. Bir saldırgan, hedefin normal kontrolleri atlamasını ister. NCSC rehberliği, saldırganların bilgi talepleri veya yetkisiz ödemeler dâhil olmak üzere iş süreçlerini ve taleplerini suistimal ettiği konusunda özellikle uyarmaktadır.
2. Kötü amaçlı bir etki alanını veya sahte kaynağı gizleyen inandırıcı bir gönderici adı
Çalışanlar genellikle tam adrese, yanıt yoluna veya etki alanına değil, görüntülenecek ada odaklanır. Kimlik sahtekarlığı önleme kontrollerinin önemli olmasının nedenlerinden biri de budur ancak eğitimin yine de insanlara, tanıdık bir marka veya meslektaş biraz “garip” göründüğünde yavaşlamayı öğretmesi gerekir.
NCSC, kuruluşlara Domain-based Message Authentication, Reporting, and Conformance (DMARC), Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) gibi kontroller aracılığıyla e-posta kimlik sahtekarlığını zorlaştırmalarını tavsiye etmektedir. Bu e-posta kimlik doğrulama kontrolleri, alıcı sistemlerin bir iletinin gerçekten iddia ettiği etki alanından gelip gelmediğini doğrulamasına topluca yardımcı olur.
3. Yeterince normal görünen bir oturum açma sayfası
Kimlik doğrulama bilgileri toplama sayfalarının mükemmel görünmesine gerek yoktur. Sadece bir çalışanın kullanıcı adı ve parola girmesine yetecek kadar tanıdık gelmeleri yeterlidir. Uygulamada en büyük ipucu tasarımdan ziyade bağlam olabilir: Bu oturum açma isteği neden şimdi ve neden bu rota üzerinden görünüyor?
4. Doğrulama yerine hız isteyen bir talep
Yönetici taklidi, fatura dolandırıcılığı ve tedarikçi dolandırıcılığı genellikle aciliyete dayanır. İleti, doğrulamayı zahmetli veya sadakatsizce hissettirecek şekilde hazırlanır. Güçlü bir kimlik avı girişimi eğitimi, beklenmedik aciliyetin sadece şüpheli bir dil olmadığını; bunun e-posta yanıt kipinden doğrulama kipine geçmek için bir sinyal olduğunu öğretmelidir.
5. Raporlamanın utanç verici hissettirdiği bir durum
En çok gözden kaçan uyarı işaretlerinden biri teknik olmaktan ziyade içseldir: Bir çalışan garip bir şey fark eder ancak emin olmadığı, çok meşgul olduğu veya dikkatsiz görünmekten çekindiği için bunu raporlamakta tereddüt eder.
NCSC, kimlik avı girişimini tanımakta zorlanan kullanıcıların azarlanmasına karşı uyarır çünkü misilleme korkusu raporlamayı engeller. Bu nedenle sağlıklı programlar, çalışanlara bir ileti zararsız çıksa bile erken bir endişe dile getirmenin faydalı olduğunu öğretir.
Eğitim başarısız olduğunda ne olur?
Kimlik avı girişimi eğitimi başarısız olduğunda, hasar genellikle başka bir yerden önce kimlik doğrulama bilgileri ile ölçülür. Bir kullanıcı sahte bir portalda parola yazar, beklenmedik bir istemi onaylar veya ikna edici ve dahili görünümlü bir talep aracılığıyla oturum açma ayrıntılarını paylaşır. O noktadan sonra sorun artık sadece tek bir gelen kutusu kararıyla ilgili değildir. Bir erişim kontrolü sorunu haline gelir.
Kimlik avı girişimi ile parola hijyeni arasındaki bağlantının bu kadar kritik hale geldiği nokta burasıdır. Aynı parola birden fazla hizmette tekrar kullanılırsa, ele geçirilmiş tek bir kimlik doğrulama bilgisi; e-posta, SaaS araçları, bulut platformları veya yönetici sistemlerine giden bir rota haline gelebilir. Paylaşılan oturum açma bilgileri hâlâ kayıt dışı veya kontrolsüz yöntemlerle ele alınıyorsa, hesap verebilirlik daha da düşer.
Proton’un Veri Ele Geçirilme Gözlem Raporu, her 10 veri ele geçirilme olayından 9’unda isimlerin ve e-postaların yer aldığını, ele geçirmelerin yüzde 72’sinin iletişim verilerini içerdiğini ve yüzde 49’unun parolaları kapsadığını belirtmektedir. Bu, saldırganların kimlik avı girişimini daha ikna edici kılmak ve başarılı olduklarında parola tekrar kullanımını suistimal etmek için ihtiyaç duydukları ham maddeye genellikle sahip oldukları anlamına gelir.
Yakın zamandaki veri ele geçirilme örnekleri aynı noktayı başka bir açıdan ortaya koymaktadır. Proton’un veri ele geçirilme raporlamasında, 2026 yılındaki kimlik avı girişimiyle ilgili olaylar tıklanan bir bağlantıyla sınırlı kalmamış; ağ erişimi, dahili ifşa ve daha geniş kapsamlı iş olaylarına dönüşmüştür. Bu nedenle kimlik avı girişimi saldırılarını önleme, yalnızca çalışanların bunu tanımasından ibaret olamaz. Aynı zamanda tek bir hesap ele geçirildiğinde, çalınan kimlik doğrulama bilgilerinin ne kadar ileri gidebileceğini de azaltmalıdır.
Her hizmet için benzersiz parolalar, buradaki en basit ve en yüksek değerli kontrollerden biridir. Bir kimlik avı girişiminin gerçekleşmesini durdurmazlar ancak olumsuz sonuçların sınırlandırılmasına yardımcı olurlar. Bir parola çalınırsa, bu parola diğer beş sistemin kilidini açmamalıdır.
Güvenli bir kurumsal parola yöneticisi, bir güvenlik kültürü stratejisini destekler. Proton Pass for Business; ekiplerin her hizmet için güçlü, benzersiz parolalar oluşturmasına ve saklamasına yardımcı olmak, böylece başarılı bir kimlik avı girişimi etkinliğinin tüm kuruluşa yayılma olasılığını azaltmak için tasarlanmıştır.
Çalışanlar için kimlik avı girişimi eğitimi için pratik bir model
Başlamak için en iyi yer genel eğitim materyalleri değil, kuruluşunuzun gerçekte nasıl çalıştığıdır.
Öncelikle çalışanların karşılaşma olasılığı en yüksek olan kimlik avı girişimi senaryolarına odaklanın: oturum açma istemleri, tedarikçi taklidi, ödeme onayları, paylaşılan belge bildirimleri, yönetici talepleri veya kimlik sağlayıcı saldırıları. İnsanlar eğitimde kendi çalışma gerçeklerini tanıyabildiklerinde, eğitim çok daha faydalı hale gelir.
Raporlama da basit ve güvenli olmalıdır. NCSC’nin kimlik avı kılavuzu, kuruluşların kullanıcıların şüpheli kimlik avı iletilerini tanımlamasına ve bildirmesine yardımcı olması gerektiğini açıkça belirtirken, Reporting Fraud Website(yeni pencere) (Dolandırıcılık Bildirim Sitesi), Birleşik Krallık’ın kimlik avı girişimi ve siber suçlar için resmi bildirim rotasını sağlamaktadır. Çalışanlar, dâhili olarak nereye bildirimde bulunacaklarını, neleri dâhil edeceklerini ve bir bağlantıya tıkladıklarında, kimlik doğrulama bilgileri girdiklerinde veya erişimi onayladıklarında derhal ne yapmaları gerektiğini bilmelidir.
Eğitim, hataların maliyetini azaltan kontrollerle desteklenmelidir. Buna e-posta filtreleme, kimlik sahtekarlığı korumaları, güvenli oturum açma akışları, iki adımlı doğrulama ve daha güçlü parola hijyeni dâhildir. Proton’un kimlik avı girişimi saldırılarının önlenmesine yönelik hazırladığı kurumsal kılavuz da temiz raporlama kanallarının, tekrarlanan uygulamaların ve açığa çıkan kimlik doğrulama bilgilerinin izlenmesinin değerine işaret etmektedir.
Son olarak, tıklamalardan daha fazlasını ölçün. Simülasyon tıklama oranları yararlı olabilir ancak raporlama oranları, raporlama süresi, tekrarlanan başarısızlık modelleri ve kimlik doğrulama bilgileriyle ilgili olaylar genellikle direncin artıp artmadığına dair daha net bir tablo sunar. NCSC ayrıca, kuruluşların güvenli raporlamayı caydırmaması için kimlik avı girişimi metrikleri hakkında dikkatlice düşünülmesini önermektedir.
Mükemmel tespit mümkün değildir ancak daha güçlü bir yanıt mümkündür
Kimlik avı girişimi farkındalık eğitimi, çalışanların her saldırıyı kusursuz bir şekilde fark edebilmesi gerektiği fikrinin ötesine geçtiğinde en etkili hale gelir. Daha gerçekçi bir hedef; tanıdık uyarı işaretlerini tanıyabilen, endişeleri hızla raporlayabilen ve bir hatanın daha geniş bir olaya dönüşmesini durduracak şekillerde yanıt verebilen bir ekip oluşturmaktır.
Bu, bilgiden daha fazlasını gerektirir. Tekrarlanan uygulama, gerçek rolleri ve iş akışlarını yansıtan örnekler ve bir şeyler yanlış gittiğinde çalışanların güvenebileceği temiz süreçler gerektirir. Ayrıca bir kimlik avı girişimi başarılı olduğunda kimlik doğrulama bilgileri hırsızlığının etkisini azaltan kontrolleri de gerektirir. Bu nedenle, çalışanlar için kimlik avı eğitimi, bağımsız bir farkındalık egzersizi olarak değil, daha geniş bir güvenlik kültürünün parçası olarak en iyi sonucu verir.
Kimlik avı girişimi riskini iyi bir şekilde azaltan kuruluşlar genellikle aynı unsurları birleştirir: pratik eğitim, temiz raporlama alışkanlıkları, daha güçlü olay hazırlığı ve daha sıkı kimlik doğrulama bilgileri hijyeni. Proton’un kimlik avı girişimi saldırıları ve olay müdahalesi hakkındaki kaynakları aynı ilkeyi pekiştirmektedir: farkındalık, bir sızıntıyı kontrol altına almayı kolaylaştıran sistemlerle desteklendiğinde çok daha etkilidir.
