Phishing yeni bir şey değil.
Sahte e-postalar, sahte giriş sayfaları, dolandırıcılık bağlantıları, sahte banka mesajları, sahte kargo SMS'leri ve sosyal mühendislik hakkında yıllardır konuşuyoruz. Ama sorun hâlâ burada. Hatta daha da büyüyor, hızlanıyor ve daha kişisel hâle geliyor.
Bugün bir dolandırıcılık, saniyeler içinde herkese ulaşabiliyor.
Bir phishing bağlantısı bir e-postadan, WhatsApp mesajından, Telegram grubundan, sahte iş teklifinden, QR koddan, PDF dosyasından, sosyal medya reklamından, hatta bir gönderinin altındaki basit bir yorumdan gelebilir. APWG, 2025'in ilk çeyreğinde 1 milyondan fazla phishing saldırısı bildirdi; bu, 2023'ün sonundan bu yana en yüksek sayıdır ve ayrıca suçluların insanları phishing sitelerine ve kötü amaçlı yazılımlara yönlendiren milyonlarca QR kodlu phishing e-postası gönderdiğini belirtti. (APWG)
İşte basit gerçek bu:
İnternet açık. Ve açık olduğu için, dolandırıcılık her zaman bir tıklama uzağımızda.
Bu açıklık güzel. İnşa etmemizin, paylaşmamızın, öğrenmemizin ve dünya genelindeki insanlarla bağlantı kurmamızın nedeni bu. Ama aynı zamanda herkesin bir alan adı satın alabileceği, sahte bir sayfa oluşturabileceği, bir sertifika alabileceği ve insanlara çok hızlı bir şekilde saldırıya başlayabileceği anlamına da geliyor.
Ve phishing'in internetteki en büyük sorunlardan biri olmaya devam etmesinin nedeni de bu.
Eski çözümler artık yeterli değil
Çoğu şirket hâlâ tehdit istihbarat beslemeleri, kara listeler ve itibar sistemleriyle çalışıyor.
Fikir basit: bir web sitesi phishing olarak biliniyorsa, bir listeye ekle ve sonra engelle.
Bu bazen işe yarıyor. Ama phishing artık o kadar yavaş değil.
Bir phishing web sitesi yalnızca birkaç saat yaşayabilir. 2025 tarihli bir akademik çalışmada, araştırmacılar phishing web sitelerinin medyan ömrünün yalnızca 5,46 saat olduğunu, Google Safe Browsing'in veri setindeki phishing web sitelerinin yalnızca %18,4'ünü tespit ettiğini ve bunları tespit etmesinin ortalama 4,5 gün sürdüğünü buldu. Aynı çalışma, birçok phishing sitesinin kara liste tarafından tespit edilmeden önce zaten kapatıldığını da ortaya koydu. (7 Days Later: Analyzing Phishing-Site Lifespan After Detected)
Bu çok önemli bir nokta.
Saldırı saatlerce canlı kalıyor, ama savunma günler içinde tepki veriyorsa, birçok kullanıcı zaten maruz kalmış demektir.
Bu nedenle yalnızca kara listeye dayalı koruma yeterli değildir.
İşe yaramaz değil. Hâlâ bir değeri var. Ama modern phishing için yeterli değil.
Saldırganlar nasıl gizleneceklerini biliyorlar
Bir diğer sorun da kaçınma.
Saldırganlar herkese aynı sayfayı göstermiyorlar. Gerçek phishing sayfasını yalnızca kurbanına gösterebilir ve güvenlik araçlarına temiz bir sayfa gösterebilirler.
Buna cloaking denir.
Bir phishing web sitesi şunlara bağlı olarak farklı davranabilir:
- ziyaretçinin ülkesi,
- cihaz türü,
- tarayıcı,
- IP adresi,
- günün saati,
- ziyaretçinin gerçek bir insan mı yoksa bir güvenlik tarayıcısı mı gibi göründüğü.
Son akademik çalışmalar da daha adaptif tespit sistemlerine olan ihtiyacı destekliyor. Örneğin, arXiv'deki PhishParrot makalesi, phishing sitelerinin gerçek kötü amaçlı sayfayı yalnızca seçilmiş kullanıcılara göstermek için cloaking kullanabildiğini, güvenlik tarayıcılarına ise temiz içerik gösterdiğini ortaya koyuyor. 21 günlük değerlendirmelerinde, araştırmacılar adaptif tarama yaklaşımının standart analiz sistemlerine kıyasla tespit doğruluğunu %33,8'e kadar artırdığını gösterdi (PhishParrot: LLM-Driven Adaptive Crawling to Unveil Cloaked Phishing Sites). Benim için bu güçlü bir sinyal: statik ve herkese uyan tek beden tespit artık yeterli değil. Saldırganların nasıl gizlendiğine, değiştiğine ve phishing sayfalarını seçici olarak nasıl ortaya çıkardığına uyum sağlayabilen sistemlere ihtiyacımız var.
Birisi "Phishing neden hâlâ çözülmedi?" diye sorduğunda, cevaplardan biri bu.
Çünkü saldırganlar sadece sahte sayfalar oluşturmuyor.
Gizlenen sahte sayfalar oluşturuyorlar.
Makine öğrenmesi yardımcı oldu, ama sorunu tam olarak çözmedi
Kara liste sistemleri çok yavaş kalmaya başladıktan sonra, birçok araştırmacı ve şirket makine öğrenmesine yöneldi.
Bu mantıklıydı.
Sadece "Bu URL zaten biliniyor mu?" diye sormak yerine, makine öğrenmesi daha iyi bir soru soruyor:
"Bu URL şüpheli görünüyor mu?"
Bu faydalı. Ama aynı zamanda başka bir sorun da getiriyor: yanlış pozitifler.
Bir güvenlik ürünü güvenli bir web sitesini engellerse, insanlar ona olan güvenini kaybeder. Bir şirkette bu, operasyonel sıkıntılara da yol açar. Güvenlik ekipleri yavaşlar. Çalışanlar rahatsız olur. Analistler, var olmaması gereken uyarıları kontrol ederek zaman kaybeder.
Bu sorunu PhiShark'ın ilk versiyonunu geliştirirken doğrudan gördüm.
PhiShark'ın ilk versiyonu makine öğrenmesine dayalıydı. Ve dürüst olmak gerekirse, sorunu çok daha iyi anlamamıza yardımcı oldu.
En büyük ders basitti:
Veri, veri, veri.
Makine öğrenmesi ile her zaman veriye bağımlısınız. Ama phishing'de veri her saniye değişir. Yarın yeni bir dolandırıcılık türü ortaya çıkabilir. Yeni bir alan adı kalıbı popüler olabilir. Yeni bir sahte marka kampanyası başlayabilir. Yeni bir cloaking hilesi eski veri setinizi daha az faydalı hâle getirebilir.
Ve sonra çok zor bir soruyla karşı karşıya kalırsınız:
Hangi veriye güvenmelisiniz?
Hangi veriyi eğitim için kullanmalısınız?
Hangi eski örnekler hâlâ faydalı?
Hangi eski örnekler artık yanıltıcı?
Modeli gürültülü hâle getirmeden nasıl güncel tutarsınız?
Kendi tarihsel verinizin altında ezilmekten nasıl kaçınırsınız?
Bu göründüğünden çok daha zor.
Çünkü phishing statik bir sorun değil. Hareket ediyor. Değişiyor. Uyum sağlıyor.
Bu yüzden, en başından beri, bir phishing ürününün yalnızca eğitilmiş bir modelden fazlasına ihtiyacı olduğunu hissettim. Zekâya ihtiyacı var.
Yeni sinyallere bakabilen, bağlamı anlayabilen, farklı kanıt parçalarını birleştirebilen ve bir insan analistin düşünme şekline daha yakın karar verebilen bir sisteme ihtiyacı var.
Ve bizim için bu, agentic bir mimari ile çok daha mümkün hâle geldi.
Bunu gelecekteki yazılarda daha detaylı anlatacağım, ama bu PhiShark için en büyük dönüm noktalarından biriydi.
Phishing tespiti bu yüzden zor.
Çok yumuşak olursanız, saldırıları kaçırırsınız. Çok agresif olursanız, normal hayatı engellersiniz.
İyi bir phishing ürünü dengeye ihtiyaç duyar. Hızlı olmalı, ama gürültülü olmamalı. İnsanları korumalı, ama günlük internet kullanımlarını bozmamalı.
Phishing yalnızca teknik bir sorun değil
Siber güvenlik ürünlerine baktığımızda, uç nokta güvenliği, bulut güvenliği, kimlik güvenliği, SIEM, SOAR, ağ güvenliği ve tehdit istihbaratı için birçok araç görüyoruz.
Ama normal insanlar için phishing korumasına baktığımızda, seçenekler hâlâ sınırlı.
Neden?
Çünkü phishing yalnızca teknik bir sorun değil.
Bu bir insan sorunu.
CISA, sosyal mühendisliği saldırganın bilgi elde etmek veya bilgiyi ele geçirmek için insan etkileşimini kullandığı bir saldırı olarak tanımlar. Basit bir ifadeyle, saldırganlar her zaman sistemi hacklemiyor. Bazen güveni hackliyorlar. (CISA)
Ve bu çok daha zor.
Çünkü insanlar duygusal. Yoruluyoruz. Acele ediyoruz. Panik yapıyoruz. Tanıdık markalara güveniyoruz. Acil görünen mesajlara güveniyoruz. Normal görünen bir şeye tıklıyoruz.
Bir yazılım açığı yamalanabilir.
Ama korkuyu nasıl yamalarsınız? Stresi nasıl yamalarsınız? Sahte bir okul ödeme bağlantısı alan bir ebeveyni nasıl yamalarsınız? Sahte bir banka SMS'i alan yaşlı bir insanı nasıl yamalarsınız?
Phishing'in hâlâ güçlü olmasının nedeni bu.
Eğitim faydalı, ama tek başına eğitim yeterli değil
Bir süre boyunca birçok şirket phishing farkındalık eğitimine odaklandı.
Ve evet, eğitim önemli.
Çalışanlar bir phishing e-postasının neye benzediğini öğrenmeli. Sahte alan adlarını, acil dil, şüpheli ekleri ve sahte giriş sayfalarını anlamalılar.
Ama eğitim tek başına tam çözüm olamaz.
Çünkü saldırganlar yalnızca çalışanları hedef almıyor.
Ailelerini, arkadaşlarını, ortaklarını, ebeveynlerini veya çocuklarını hedef alabilirler.
Bugün sosyal medya nedeniyle neredeyse herkes erişilebilir durumda. Hayatlarımız açık. İşlerimiz, okullarımız, arkadaşlarımız, aile üyelerimiz, konumlarımız ve günlük alışkanlıklarımız her zamankinden daha kolay bulunabilir.
Bu, saldırganların etrafımızda dolaşabileceği anlamına geliyor.
Belki çalışana doğrudan ulaşamıyorlar. Bu yüzden o kişiye yakın birine ulaşıyorlar. Ve sonra saldırı güvenilir bir yönden geliyor.
Bu nedenle phishing korumasının yalnızca şirketlerin içinde yaşamaması gerektiğine inanıyorum.
Normal hayatta da insanları korumalı.
En çok risk altında olanlar genellikle en az korunuyorlar
Bu kısım benim için çok önemli.
Çoğu siber güvenlik aracı uzmanlar için inşa edilmiş.
Panelleri, uyarıları, risk puanları, logları, politikaları, entegrasyonları ve karmaşık ayarları var.
Bir SOC ekibi için bu iyi.
Ama bir çocuğa ne olacak?
Yaşlı bir insana ne olacak?
Sadece bir kargo mesajını açmak isteyen birine ne olacak?
Restoranda QR kod okutan birine ne olacak?
FBI'ın 2024 internet suçları verileri, ABD'deki insanların 2024'te dolandırıcılık ve siber suçlara 16 milyar dolardan fazla kaybettiğini gösterdi. 60 yaş ve üzerindeki insanlar 147.000'den fazla şikayet bildirdi ve 4,8 milyar dolar zarar raporladı. Phishing veya spoofing, yaşlılar için en çok şikayet edilen konulardan biriydi. (Axios)
Bu bize çok net bir şey söylüyor:
Korunmaya ihtiyacı olanlar yalnızca şirketler değil.
Normal insanlar da korunmaya ihtiyaç duyuyor.
Aileler korunmaya ihtiyaç duyuyor. Ebeveynler korunmaya ihtiyaç duyuyor. Çocuklar korunmaya ihtiyaç duyuyor. Yaşlı insanlar korunmaya ihtiyaç duyuyor.
Ve çözüm onlar için yeterince basit olmalı.
PhiShark'ı bu yüzden geliştirdik
PhiShark'ta basit bir fikirle yola çıktık:
Ya phishing koruması kullanıcıya daha yakın olabilseydi?
Yalnızca şirket ağının içinde değil.
Yalnızca bir kurumsal panelin içinde değil.
Yalnızca bir URL zaten raporlandıktan sonra değil.
Doğrudan insanların tıkladığı yerde.
PhiShark tarayıcı eklentisini bu yüzden geliştirdik.
Amaç basit:
Birisi tehlikeli bir bağlantıya tıklamadan önce, PhiShark riski anlamalarına yardımcı olmalı.
Bunu yalnızca güvenlik ekipleri için değil, normal internet kullanıcıları için de faydalı yapmak istedik. Çünkü phishing artık yalnızca kurumsal e-postada gerçekleşmiyor.
PDF'lerde oluyor. QR kodlarda oluyor. Mesajlarda oluyor. Sahte faturalarda oluyor. Sahte kargo sayfalarında oluyor. Sahte devlet formlarında oluyor. Sahte sosyal medya giriş sayfalarında oluyor.
APWG ayrıca QR kodlu phishing'in ciddi bir kanal hâline geldiği konusunda uyardı; suçlular insanları phishing sitelerine ve kötü amaçlı yazılımlara yönlendiren QR kodlar içeren milyonlarca e-posta gönderiyor. (APWG)
Bu yüzden PhiShark'ı yalnızca basit bir URL'yi kontrol etmekten fazlasını yapacak şekilde tasarladık.
E-postaların içindeki bağlantılara bakmasını istiyoruz. PDF'leri analiz etmesini istiyoruz. QR kodları kontrol etmesini istiyoruz. Hata gerçekleşmeden önce insanları korumasını istiyoruz.
İnsan analistler gibi düşünen araçlara ihtiyacımız var
Bir insan analist yalnızca bir soru sormaz.
Sadece şunu sormaz:
"Bu URL bir kara listede mi?"
Birçok küçük soru sorar:
Bu alan adı neden garip görünüyor? Ne zaman oluşturulmuş? Hangi sertifikayı kullanıyor? Nerede barındırılıyor? Sayfa bir giriş sayfasına mı benziyor? Bilinen bir markayı taklit ediyor mu? Şüpheli yönlendirme var mı? Web sitesi tarayıcılardan gizleniyor mu? Yalnızca bir ülkede mi aktif? Mobilde farklı mı davranıyor?
PhiShark için istediğimiz yön bu.
Birçok sinyali birlikte değerlendiren bir sistem geliştirmek istiyoruz.
Sadece bir sinyal değil.
Sadece bir kara liste değil.
Sadece bir puan değil.
Gerçek bir analiz.
Şunu söyleyebilen bir sistem:
"Bu şüpheli görünüyor ve işte nedeni."
O "neden" önemli.
Çünkü güven önemli.
İnsanlar yalnızca kırmızı bir uyarı görmemeli. Arkasındaki nedeni anlamalılar.
Bu alan neden daha fazla ilgiye ihtiyaç duyuyor?
Hâlâ phishing'in siber güvenlikte en çok hafife alınan sorunlardan biri olduğuna inanıyorum.
Birçok insan hâlâ phishing'in yazım hataları olan kötü e-postalar anlamına geldiğini düşünüyor.
Ama modern phishing bundan çok daha iyi.
Sayfalar gerçek görünüyor. Mesajlar kişisel. Zamanlama akıllıca. Alan adları inandırıcı görünüyor. Saldırılar hızlı hareket ediyor. Saldırganlar güvenlik araçlarından gizleniyor.
Verizon'ın 2026 DBIR raporu bile mobil cihazların daha güçlü bir hedef hâline geldiğini, mobil tehditlerin geleneksel e-posta tehditlerinden daha yüksek tıklama oranları aldığını belirtiyor. (Verizon)
Yani phishing eski e-posta kutusunda kalmıyor.
Günlük hayatımıza giriyor.
Ve korumamızın da bununla birlikte hareket etmesi gerekiyor.
PhiShark'ın arkasındaki hikaye bu
PhiShark'ı geliştirmeye başlamamın nedeni bu.
Phishing yeni bir sorun olduğu için değil.
Hâlâ çözülmediği için.
Ve mevcut çözümlerin yeterince basit, yeterince hızlı ve gerçek insanlara yeterince yakın olmadığına inanıyorum.
Şirketleri koruyabilecek araçlara ihtiyacımız var.
Ama aynı zamanda ebeveynleri, çocukları, yaşlı insanları, öğrencileri, küçük işletme sahiplerini ve interneti kullanan herkesi koruyabilecek araçlara da ihtiyacımız var.
Daha hızlı doğrulamaya ihtiyacımız var.
Daha iyi tespitime ihtiyacımız var.
Daha az gürültüye ihtiyacımız var.
Gerçek hayatta işe yarayan phishing korumasına ihtiyacımız var.
Bu blog, bu konuda yazı yazacağım yer olacak.
Araştırmalardan, sektörden, gerçek phishing örneklerinden ve PhiShark'ı geliştirirken gördüklerimi paylaşacağım.
Phishing büyük bir sorun.
Ama buna karşı daha iyi araçlar geliştirebileceğimize inanıyorum.
Güvende kalın.
PhiShark'ı indirin.
Ve bana LinkedIn'den doğrudan mesaj atarsanız, size 3 aylık profesyonel erişim vereceğim. :D
Sevgiler, Furkan.