2024 yılı, Türkiye'de siber dolandırıcılığın zirve yaptığı yıl oldu. Emniyet Genel Müdürlüğü verilerine göre, siber suçlarda %45 artış yaşandı. Bunların büyük çoğunluğu teknoloji değil, insan hedef alınarak gerçekleştirildi.
Bu yazıda, Türkiye'de gerçekten yaşanmış 10 sosyal mühendislik vakasını inceliyoruz. Her vaka için: Ne oldu? Nasıl kandırıldılar? Zarar ne oldu? Ve en önemlisi: Nasıl önlenebilirdi?
Sosyal Mühendislik Nedir?
Sosyal mühendislik, insanları manipüle ederek gizli bilgilere erişme, sistemlere sızma veya para transferi yaptırma sanatıdır. Saldırganlar teknik güvenlik önlemlerini aşmak yerine, en zayıf halkayı hedef alır: İnsan.
Güvenlik duvarları, antivirüsler, şifreli bağlantılar... Hepsi önemli. Ama bir çalışan telefonda "IT departmanından arıyorum, şifrenizi doğrulamamız gerekiyor" diyen birine şifresini verirse, tüm bu önlemler işe yaramaz.
"En sofistike güvenlik sistemleri bile, bir çalışanın 'Tamam, size yardımcı olayım' demesiyle aşılabilir."
📋 Bu Yazıda Neler Var?
- Banka Çalışanına Sahte IT Desteği Çağrısı (Vishing)
- E-ticaret Şirketinde CEO Fraud
- Hastanede USB Drop Attack
- Kargo Şirketi SMS Phishing (Smishing)
- Üretim Tesisinde Fiziksel Sızma
- Muhasebe'ye Sahte Fatura Saldırısı
- LinkedIn Üzerinden Hedefli Saldırı
- Çağrı Merkezi Manipülasyonu
- WhatsApp Business Hesabı Klonlama
- Pandemi Döneminde Sahte VPN Maili
Banka Çalışanına Sahte IT Desteği Çağrısı
🎤 Vishing (Voice Phishing)Ne Oldu?
İstanbul'da büyük bir bankanın şube çalışanı, öğleden sonra bir telefon aldı. Arayan kişi kendisini "Merkez IT Güvenlik Birimi"nden tanıttı ve çok ciddi bir ses tonuyla konuştu:
"Sisteminizde anormal bir aktivite tespit ettik. Hesabınız ele geçirilmiş olabilir. Acil müdahale etmemiz gerekiyor. Şimdi size bir doğrulama kodu göndereceğim, bana okumanız gerekiyor."
Çalışan, bankanın resmi numarasından arandığını düşündü (numara spoofing yapılmıştı). Gelen SMS kodunu okudu. 3 dakika içinde, çalışanın yetkili olduğu 8 müşteri hesabından toplam 2.4 milyon TL farklı hesaplara aktarıldı.
Zarar
- 2.4 milyon TL doğrudan finansal kayıp
- 8 müşterinin hesabı etkilendi
- Çalışan işten çıkarıldı
- Banka itibar kaybı yaşadı
- BDDK soruşturması başlatıldı
Nasıl Önlenebilirdi?
- Geri arama prosedürü: IT'den gelen çağrılarda, çalışan telefonu kapatıp bilinen numaradan geri aramalıydı
- Kod paylaşmama kuralı: Hiçbir koşulda SMS/OTP kodu telefonda paylaşılmamalı
- Vishing eğitimi: Çalışanlara düzenli telefon dolandırıcılığı senaryoları anlatılmalı
- Çift onay sistemi: Kritik işlemler için ikinci bir yetkilinin onayı şart olmalı
E-ticaret Şirketinde CEO Fraud
📧 Business Email Compromise (BEC)Ne Oldu?
Ankara'da 200 çalışanlı bir e-ticaret şirketi. Muhasebe müdürü Cuma günü saat 17:30'da bir e-posta aldı. Gönderen: CEO'nun mail adresi (görünüşte).
"Merhaba Ayşe Hanım, acil bir durum var. Pazartesi sabahı açıklanacak bir satın alma için bugün 850.000 TL transfer yapmamız gerekiyor. Konu gizli, kimseyle paylaşmayın. Havale bilgilerini ekte bulabilirsiniz. Hemen yapın ve bana dönün."
Mail adresi gerçek görünüyordu ama aslında ceo@sirket.com yerine ceo@sirket.corn (m yerine rn) kullanılmıştı. Muhasebe müdürü, CEO'nun yoğun olduğunu düşünerek teyit almadan transferi yaptı.
Pazartesi sabahı gerçek CEO sordu: "Hangi transfer?" O an her şey anlaşıldı.
Zarar
- 850.000 TL doğrudan kayıp (geri alınamadı)
- Muhasebe müdürü istifa etti
- İç denetim süreci başlatıldı
- Sigorta talebi reddedildi ("insan hatası" gerekçesiyle)
Nasıl Önlenebilirdi?
- Çift onay sistemi: Belirli tutarın üzerindeki transferler için 2 imza zorunlu
- Telefon teyidi: Üst yönetimden gelen acil talepler telefon ile doğrulanmalı
- Domain kontrolü: E-posta adresinin gerçekliği karakter karakter kontrol edilmeli
- CEO fraud eğitimi: Özellikle finans ekibine bu saldırı türü detaylıca anlatılmalı
- "Acil ve gizli" red flag: Bu iki kelimenin birlikte kullanımı alarm zili çalmalı
Hastanede USB Drop Attack
💾 Fiziksel Sosyal MühendislikNe Oldu?
İzmir'de özel bir hastane. Sabah saatlerinde otoparkte, asansör önünde ve kafeteryada toplam 15 adet USB bellek "unutulmuş" gibi bırakıldı. Üzerlerinde "Maaş Bordroları 2024" ve "Gizli - İK" etiketleri vardı.
Merak eden 4 çalışan, bu bellekleri bilgisayarlarına taktı. USB'ler otomatik olarak bir program çalıştırdı - ekranda hiçbir şey görünmedi ama arka planda bir "keylogger" (tuş kaydedici) ve "reverse shell" (uzaktan erişim) yüklendi.
3 hafta boyunca saldırganlar, hastanenin tüm sistemlerini izledi. Hasta kayıtları, doktor notları, finansal veriler... Sonra fidye yazılımı devreye girdi: "30.000 dolar ödeyin veya 50.000 hasta kaydını yayınlarız."
Zarar
- Fidye ödendi (30.000 USD)
- 2 hafta sistemler kısmen kapalı kaldı
- 50.000 hasta kaydı risk altına girdi
- KVKK cezası: 1.500.000 TL
- Hasta güveni sarsıldı, randevu iptalleri arttı
Nasıl Önlenebilirdi?
- USB port kontrolü: Endpoint güvenlik yazılımı ile USB cihazlar kısıtlanmalı
- Fiziksel güvenlik eğitimi: "Bulduğunuz USB'yi ASLA takmayın" kuralı
- Güvenli USB kutusu: Bulunan cihazlar IT'ye teslim edilmeli, izole ortamda incelenmeli
- Autorun devre dışı: USB'lerin otomatik çalışması engellenmiş olmalı
- Düzenli USB drop testleri: Çalışan farkındalığı test edilmeli
Kargo Şirketi SMS Phishing
📱 Smishing (SMS Phishing)Ne Oldu?
Bir lojistik şirketinin 50 çalışanına aynı anda SMS geldi:
"[ŞİRKET ADI] İK: Yeni maaş bordronuz hazır. Görüntülemek için: hr-portal-sirket.com/bordro"
Link, şirketin gerçek İK portalına çok benzeyen sahte bir siteye yönlendiriyordu. 12 çalışan linke tıkladı ve şirket kullanıcı adı/şifrelerini girdi.
Saldırganlar bu bilgilerle şirketin gerçek sistemlerine giriş yaptı. Müşteri veritabanına erişti, 15.000 kurumsal müşterinin iletişim bilgilerini ve sipariş geçmişini kopyaladı. Bu veriler daha sonra rakip firmalara satıldı.
Zarar
- 15.000 kurumsal müşteri verisi sızdırıldı
- Veriler rakiplere satıldı - müşteri kaybı başladı
- KVKK bildirimi zorunlu oldu
- Müşterilere tazminat ödendi
- Toplam maliyet: ~2 milyon TL
Nasıl Önlenebilirdi?
- SMS'teki linklere tıklamama politikası: Şirket içi iletişim sadece resmi kanallardan
- MFA (Çok faktörlü doğrulama): Şifre çalınsa bile giriş engellenirdi
- URL bilinçlendirmesi: Gerçek domain ile sahte domain farkı eğitimi
- Smishing simülasyonları: Düzenli test SMS'leri göndererek farkındalık ölçümü
Üretim Tesisinde Fiziksel Sızma
🚪 Fiziksel Sosyal MühendislikNe Oldu?
Bursa'da otomotiv yan sanayi üreten bir fabrika. Sabah 09:00'da kapıya bir kişi geldi: Üzerinde tanınmış bir klima firmasının tulumu, elinde alet çantası, boynunda sahte kimlik kartı.
"Günaydın, klima bakımı için geldim. IT odasındaki sistem klimasına bakacağız, yönetim talep etmişti."
Güvenlik, yönetimden teyit almadan "buyurun" dedi. Adam IT odasına girdi. 20 dakika "klimayla ilgilendi". Bu sürede sunucu odasında bir Raspberry Pi cihazı ağa bağladı. Teşekkür edip çıktı.
Cihaz 2 ay boyunca tüm ağ trafiğini dışarıya aktardı: Tasarım dosyaları, müşteri bilgileri, maliyet tabloları, teklif detayları... Hepsi rakip bir firmaya ulaştı.
Zarar
- 2 yıllık Ar-Ge çalışması çalındı
- Rakip firma aynı ürünü 6 ay önce piyasaya sürdü
- 3 büyük müşteri kaybedildi
- Tahmini kayıp: 15+ milyon TL
Nasıl Önlenebilirdi?
- Ziyaretçi doğrulama: Tüm dış ziyaretçiler için önceden randevu ve teyit şart
- Refakatçi zorunluluğu: Teknik personel dahil tüm ziyaretçilere eşlik edilmeli
- Kritik alan erişimi: IT/sunucu odası için ayrı yetkilendirme
- Fiziksel sızma testleri: Düzenli olarak bu tür senaryolar test edilmeli
- Ağ izleme: Bilinmeyen cihazlar anında tespit edilmeli
Muhasebe'ye Sahte Fatura Saldırısı
📄 Invoice FraudNe Oldu?
İstanbul'da inşaat malzemeleri tedarikçisi bir şirket. 5 yıldır çalıştıkları bir tedarikçiden (gerçek görünümlü) e-posta geldi:
"Sayın Yetkili, banka hesabımız değişmiştir. Bundan sonraki ödemeleri aşağıdaki IBAN'a yapmanızı rica ederiz. Yeni hesap bilgileri ektedir."
Mail, tedarikçinin gerçek mail adresinden gelmiş gibi görünüyordu (e-posta spoofing). Muhasebe, 3 aylık ödeme periyodunda toplam 1.2 milyon TL'yi yeni hesaba gönderdi.
3 ay sonra gerçek tedarikçi aradı: "Ödemelerimiz neden gecikti?" O an fark edildi.
Zarar
- 1.2 milyon TL kayıp
- Tedarikçi ile ilişki bozuldu
- Hukuki süreç başlatıldı ama para bulunamadı
- İç kontrol süreçleri sorgulandı
Nasıl Önlenebilirdi?
- IBAN değişikliği prosedürü: Telefon ile (bilinen numaradan) mutlaka teyit
- Çift onay sistemi: Tedarikçi bilgi değişiklikleri 2 kişi tarafından doğrulanmalı
- E-posta güvenliği: SPF, DKIM, DMARC kontrolleri aktif olmalı
- Periyodik kontrol: Ödeme yapılmadan önce tedarikçi listesi doğrulanmalı
LinkedIn Üzerinden Hedefli Saldırı
🎯 Spear PhishingNe Oldu?
Bir savunma sanayi şirketinin yazılım mühendisi, LinkedIn'den mesaj aldı. Gönderen, tanınmış bir uluslararası şirketin "İK Direktörü" idi (sahte profil):
"Profilinizi inceledik, sizin için mükemmel bir pozisyon var. Maaş: Mevcut maaşınızın 2 katı. Detayları görüşmek için ekteki iş tanımını inceler misiniz?"
Mühendis, ekteki Word dosyasını açtı. Dosya macro içeriyordu ve çalıştırıldığında bilgisayara uzaktan erişim trojeni yüklendi.
Saldırganlar 6 ay boyunca mühendisin bilgisayarını izledi. Savunma projeleri, teknik çizimler, test raporları... Hepsi sızdırıldı. Olay ancak istihbarat birimlerinin uyarısıyla ortaya çıktı.
Zarar
- Gizli savunma projeleri sızdırıldı
- Ulusal güvenlik riski oluştu
- Şirket devlet ihalelerinden men edildi
- Mühendis hakkında soruşturma başlatıldı
- Zarar: Ölçülemez (stratejik)
Nasıl Önlenebilirdi?
- Sosyal medya farkındalığı: LinkedIn üzerinden gelen dosyalara dikkat
- Macro engelleme: Office dosyalarında macro varsayılan olarak devre dışı
- Sandbox ortamı: Bilinmeyen dosyalar izole ortamda açılmalı
- İK prosedürü: Gerçek iş teklifleri resmi kanallardan gelir
- EDR çözümü: Gelişmiş endpoint tespit ve yanıt sistemi
Çağrı Merkezi Manipülasyonu
📞 PretextingNe Oldu?
Büyük bir telekomünikasyon şirketinin çağrı merkezi. Saldırgan, bir kurumsal müşterinin IT yöneticisi gibi aradı:
"Merhaba, ben [Şirket Adı]'ndan Mehmet Bey. Yönetici hesabımızın şifresi sıfırlansın istiyorum, acil bir toplantıya yetişmem gerekiyor. Müşteri numaram 12345678."
Çağrı merkezi temsilcisi, standart doğrulama sorularını sordu. Saldırgan, LinkedIn ve şirket web sitesinden topladığı bilgilerle tüm soruları yanıtladı. Şifre sıfırlandı ve e-postaya gönderildi.
Saldırgan, kurumsal hesaba erişti ve şirketin tüm hatlarını yönlendirdi. 2 gün boyunca tüm müşteri çağrıları saldırgana gitti - kredi kartı bilgileri, kişisel veriler toplandı.
Zarar
- 500+ müşterinin kişisel ve finansal bilgisi çalındı
- Kurumsal müşterinin itibarı zedelendi
- Telekom şirketi tazminat ödedi
- BTK soruşturması başlatıldı
Nasıl Önlenebilirdi?
- Güçlü kimlik doğrulama: Sadece genel bilgiler yeterli olmamalı
- Geri arama prosedürü: Kritik işlemler için kayıtlı numaradan geri arama
- PIN/Parola sistemi: Müşteriye özel, sosyal medyadan bulunamayacak doğrulama
- Çağrı merkezi eğitimi: Pretexting teknikleri ve red flag'ler anlatılmalı
- İşlem limitleri: Tek çağrıda yapılabilecek değişiklikler sınırlandırılmalı
WhatsApp Business Hesabı Klonlama
💬 ImpersonationNe Oldu?
Bir mobilya mağazasının WhatsApp Business hesabı klonlandı. Saldırganlar, mağazanın logosunu ve açıklamasını birebir kopyaladı. Ardından mağazanın Instagram'daki takipçilerine tek tek yazdı:
"Merhaba! [Mağaza Adı] olarak size özel %50 indirim kampanyamız var. Sadece bugün geçerli. Siparişinizi şimdi verin, kapıda ödeme."
35 kişi sipariş verdi ve ön ödeme yaptı. Ürünler hiç gelmedi. Müşteriler gerçek mağazayı arayınca olay ortaya çıktı.
Zarar
- 35 müşteri dolandırıldı (toplam ~150.000 TL)
- Mağaza Google/sosyal medyada olumsuz yorumlarla doldu
- Müşteri güveni sarsıldı
- Satışlarda %30 düşüş (3 ay boyunca)
Nasıl Önlenebilirdi?
- WhatsApp Business API: Yeşil tik (doğrulanmış hesap) alınmalı
- Sosyal medya izleme: Marka adını kullanan sahte hesaplar takip edilmeli
- Müşteri eğitimi: "Resmi kanallarımız bunlar" duyurusu yapılmalı
- Hızlı müdahale planı: Sahte hesap tespit edildiğinde anında raporlama
Pandemi Döneminde Sahte VPN Maili
🖥️ PhishingNe Oldu?
2020 Mart ayı. Bir şirket tüm çalışanlarını evden çalışmaya geçirdi. Ertesi gün, tüm çalışanlara "IT Departmanı"ndan görünen bir e-posta geldi:
"Uzaktan çalışma için VPN kurulumu zorunludur. Aşağıdaki linkten VPN yazılımını indirip kurmanız gerekmektedir. Kurulum yapmayanlar şirket sistemlerine erişemeyecektir."
Mail, şirketin gerçek IT formatında hazırlanmıştı. 45 çalışan linke tıkladı ve "VPN yazılımı"nı indirdi. Aslında bu bir keylogger + uzaktan erişim aracıydı.
Saldırganlar, 45 çalışanın bilgisayarını kontrol altına aldı. VPN ile şirkete bağlandıklarında, saldırganlar da bağlandı. ERP sistemine, müşteri veritabanına, finansal tablolara erişildi.
Zarar
- Tüm şirket verileri ele geçirildi
- Fidye yazılımı yüklendi: 75.000 USD talep
- 1 hafta operasyonlar durdu
- Tüm çalışan bilgisayarları formatlandı
- Toplam maliyet: 3+ milyon TL
Nasıl Önlenebilirdi?
- Resmi iletişim kanalı: IT duyuruları sadece intranet veya resmi portal üzerinden
- Yazılım indirme politikası: Sadece onaylı kaynaklardan indirme
- Acil durum prosedürü: Kriz dönemlerinde ekstra doğrulama adımları
- Simülasyon testleri: Özellikle değişim dönemlerinde phishing testleri
- Zero Trust yaklaşımı: Her erişim talebi doğrulanmalı
Ortak Nokta: İnsan Faktörü
Bu 10 vakayı incelediğimizde ortak bir tema görüyoruz: Teknoloji değil, insan hedef alındı.
Saldırganlar şunları kullandı:
- Aciliyet: "Hemen yapın", "Bugün son gün"
- Otorite: "CEO'dan", "IT'den", "Bankadan"
- Korku: "Hesabınız kapatılacak", "Sisteminiz ele geçirildi"
- Merak: "Maaş bordronuz", "Gizli dosya"
- Güven: Tanıdık isimler, logolar, formatlar
Bu psikolojik tetikleyiciler, en dikkatli çalışanları bile kandırabilir. Çünkü günlük iş akışında, her e-postayı, her telefonu, her mesajı derinlemesine sorgulamak mümkün değil.
Sosyal Mühendislik Testi Neden Önemli?
Eğitim vermek iyi. Ama eğitimin işe yarayıp yaramadığını nasıl ölçersiniz?
Sosyal mühendislik testi, gerçek saldırganların kullandığı teknikleri kontrollü bir ortamda simüle eder:
- Phishing testleri: Sahte e-postalar göndererek kim tıklıyor, kim bilgi giriyor?
- Vishing testleri: Sahte telefon çağrıları ile kim şifre paylaşıyor?
- Smishing testleri: SMS tabanlı saldırılara karşı farkındalık
- Fiziksel testler: USB bırakma, sahte teknisyen senaryoları
Test sonuçları size şunları gösterir:
- Hangi departmanlar daha savunmasız?
- Hangi saldırı türleri daha etkili?
- Eğitimler gerçekten işe yarıyor mu?
- Kritik pozisyonlardaki kişiler ne kadar dikkatli?
İnvekor Sosyal Mühendislik Testi Yaklaşımı
İnvekor olarak, tek seferlik "phishing maili gönderip rapor yazmak"tan çok daha kapsamlı bir yaklaşım sunuyoruz:
| Aşama | Ne Yapıyoruz? |
|---|---|
| 1. Keşif | Şirket kültürü, sektör, geçmiş olaylar analizi |
| 2. Senaryo Tasarımı | Size özel, gerçekçi saldırı senaryoları |
| 3. Çok Kanallı Test | E-posta, telefon, SMS, fiziksel - hepsi dahil |
| 4. Ölçüm | Tıklama, bilgi girme, telefonda paylaşım oranları |
| 5. Raporlama | Yönetim ve teknik ekip için ayrı raporlar |
| 6. Farkındalık Eğitimi | Test sonuçlarına göre hedefli eğitim |
| 7. Takip Testi | Eğitim sonrası tekrar test ile ölçüm |
Sonuç
Sosyal mühendislik saldırıları, en pahalı güvenlik yatırımlarını bile işe yaramaz hale getirebilir. Çünkü en zayıf halka her zaman insan.
Bu yazıdaki 10 vaka, gerçek Türkiye'de yaşanan olaylardan derlendi. Ortak noktaları:
- Tümü önlenebilir saldırılardı
- Tümünde farkındalık eksikliği vardı
- Tümü büyük maddi kayıplara yol açtı
- Tümünde itibar zedelenmesi yaşandı
- Tümü test ve eğitimle engellenebilirdi
Şirketinizde benzer bir olay yaşanmadan önce harekete geçin. Çalışanlarınızın gerçek bir saldırıda nasıl davranacağını kontrollü bir ortamda test edin.
⚠️ Unutmayın
Saldırganlar sürekli yeni teknikler geliştiriyor. Tek seferlik eğitim yeterli değil. Düzenli testler ve sürekli farkındalık şart.
