Her gün milyonlarca kişi sahte giriş sayfaları yüzünden hesap bilgilerini kaptırıyor. Bir e-posta gelir, “Hesabınız askıya alındı” der, tıklarsın ve karşına tanıdık bir giriş ekranı çıkar. Ama o sayfa gerçek değildir; tüm yazdıkların doğrudan dolandırıcılara gider. Sahte giriş sayfaları nasıl anlaşılır sorusu, dijital çağda herkesin bilmesi gereken temel bir güvenlik becerisi haline geldi.
Bu rehberde URL kontrolünden görsel ipuçlarına, tarayıcı uyarılarından davranışsal sinyallere kadar sahte giriş sayfalarını tespit etmenin pratik yollarını öğreneceksin. Adım adım ilerleyeceğiz ve gerçek hayattan örneklerle konuyu somutlaştıracağız.
Başlamadan Önce: Gerekenler
Sahte sayfaları tespit etmek için özel bir yazılıma ihtiyacın yok. Ancak bazı temel bilgiler ve alışkanlıklar işini kolaylaştırır.
Araçlar ve İhtiyaçlar
- Güncel bir tarayıcı (Chrome, Firefox, Edge veya Safari)
- Aktif bir antivirüs veya internet güvenlik yazılımı
- Şifre yöneticisi (opsiyonel ama önerilir)
Ön Koşullar
- URL yapısı hakkında temel bilgi (domain, subdomain kavramları)
- HTTPS ve SSL sertifikası ne demek, kabaca bilmek
- Phishing (oltalama) saldırısının ne olduğunu anlamak
Kısa Tanım: Phishing, kullanıcıları kandırarak kişisel bilgilerini çalmayı amaçlayan bir siber saldırı türüdür. Sahte giriş sayfaları bu saldırının en yaygın aracıdır.
URL Adresini Kontrol Etme Yöntemleri
Sahte giriş sayfalarını yakalamanın en etkili yolu URL adresine dikkatli bakmaktır. Dolandırıcılar genelde orijinal siteye çok benzeyen ama küçük farklılıklar içeren adresler kullanır.
Domain Adını İncele
Gerçek bir banka sitesi “bankaadi.com.tr” iken sahte versiyon “bankaadi-guvenlik.com” veya “bankaadi.login-tr.com” gibi görünebilir. Asıl domain adı her zaman son noktadan önceki kısımdır. Örneğin “login.facebook.com” güvenli çünkü ana domain facebook.com. Ama “facebook.login-secure.com” tehlikeli çünkü ana domain aslında login-secure.com.
- Fazladan tire, rakam veya harf eklentilerine dikkat et
- “.com” yerine “.net”, “.xyz” gibi farklı uzantılar kullanılmış olabilir
- Türkçe karakterler yerine benzer görünen harfler (ör. “ı” yerine “i”) kullanılabilir
HTTPS ve Kilit İkonunu Kontrol Et
Adres çubuğunda kilit ikonu ve “https://” görmek tek başına güvenlik garantisi değil. Artık dolandırıcılar da ücretsiz SSL sertifikası alabiliyor. Ancak kilit ikonunun olmaması kesin bir uyarı işareti. Giriş bilgisi istenen her sayfada HTTPS şart.
Pro İpucu: Tarayıcının adres çubuğuna tıklayıp tam URL’yi gör. Bazı sahte siteler, adres çubuğunu taklit eden görsel öğeler kullanarak seni yanıltmaya çalışabilir.
Görsel ve Tasarım İpuçları
Sahte giriş sayfaları genelde orijinalin birebir kopyası gibi görünür. Ama dikkatli bakınca küçük hatalar fark edilebilir.
Yazım ve Dil Hataları
Profesyonel şirketler sitelerinde yazım hatası bırakmaz. “Şifrenizi girmek” yerine “Şifrenizi girinek” gibi hatalar, aceleye getirilmiş sahte bir sayfa işareti olabilir. Ayrıca garip cümle yapıları, tutarsız Türkçe veya otomatik çeviri kokusu veren ifadeler de şüphe uyandırmalı.
Logo ve Görsel Kalitesi
- Bulanık veya pikselleşmiş logolar
- Yanlış renk tonları (markanın kurumsal renkleriyle uyumsuz)
- Eksik veya bozuk görüntüler
- Tutarsız font kullanımı
Sayfa Düzeni ve Fonksiyonellik
Sahte sayfalarda genelde sadece giriş formu çalışır. “Şifremi unuttum”, “Yardım” veya “Hakkımızda” gibi bağlantılara tıkladığında ya hiçbir şey olmaz ya da aynı sayfaya yönlendirilirsin. Gerçek sitelerde bu linkler çalışır durumda olur.
Mini Senaryo: Diyelim ki e-postana “Netflix hesabın askıya alındı” mesajı geldi. Linke tıkladın ve giriş sayfası açıldı. Sayfanın altındaki “Gizlilik Politikası” linkine tıkla. Eğer sayfa yüklenmiyor veya anlamsız bir yere gidiyorsa, büyük ihtimalle sahte bir sayfadasın.
Tarayıcı ve Güvenlik Yazılımı Uyarıları
Modern tarayıcılar ve güvenlik yazılımları sahte siteleri tespit etmekte oldukça başarılı. Bu uyarıları asla görmezden gelme.
Tarayıcı Uyarılarını Ciddiye Al
Chrome, Firefox ve diğer tarayıcılar bilinen phishing sitelerinin listesini düzenli olarak günceller. Kırmızı ekranla “Bu site güvenli değil” veya “Aldatıcı site uyarısı” görürsen, o sayfaya kesinlikle bilgi girme. Bazı kullanıcılar “Ben bilirim ne yaptığımı” diyerek uyarıyı geçer; bu çok riskli bir davranış.
Güvenlik Yazılımlarının Rolü
- Antivirüs programları şüpheli siteleri engelleyebilir
- Tarayıcı eklentileri (güvenilir olanlar) ekstra koruma sağlar
- E-posta servisleri phishing linklerini filtreleyebilir
Pratikte en sık görülen hata, güvenlik yazılımını güncel tutmamak. Eski veritabanıyla çalışan bir antivirüs, yeni sahte siteleri tanıyamaz.
Davranışsal Kırmızı Bayraklar
Sahte giriş sayfaları sadece görsel olarak değil, davranışsal olarak da kendini ele verir. Sayfanın senden ne istediğine ve nasıl istediğine dikkat et.
Aciliyet ve Korku Taktikleri
Dolandırıcılar seni düşünmeden hareket ettirmek ister. “24 saat içinde giriş yapmazsan hesabın silinecek” veya “Şüpheli aktivite tespit edildi, hemen doğrula” gibi mesajlar klasik phishing taktikleridir. Gerçek şirketler bu kadar agresif bir dil kullanmaz ve genelde birden fazla iletişim kanalıyla seni bilgilendirir.
Olağandışı Bilgi Talepleri
- Giriş sayfasında kredi kartı bilgisi istenmesi
- TC kimlik numarası veya anne kızlık soyadı gibi ek bilgiler
- Tek seferde birden fazla güvenlik sorusu
- SMS ile gelen doğrulama kodunu sayfaya girmen istenmesi
Bankalar veya sosyal medya platformları giriş sayfasında sadece kullanıcı adı ve şifre ister. Ekstra bilgi talebi şüphe uyandırmalı.
Yönlendirme Kaynağını Sorgula
Giriş sayfasına nasıl ulaştın? E-postadaki bir linkten mi, SMS’ten mi, yoksa sosyal medyada gördüğün bir reklamdan mı? Güvenli yol her zaman aynı: tarayıcına doğrudan sitenin adresini yaz veya daha önce kaydettiğin yer imini kullan. Gelen linklere tıklamak yerine bu alışkanlığı edinmek seni birçok tehlikeden korur.
Şifre Yöneticisi Kullanmanın Avantajı
Şifre yöneticileri sadece şifreleri hatırlamak için değil, sahte siteleri tespit etmek için de işe yarar. Nasıl mı?
Şifre yöneticisi kayıtlı şifreni sadece doğru domain için otomatik doldurur. Sahte bir Facebook sayfasındaysan, şifre yöneticisi facebook.com için kayıtlı şifreyi önermez çünkü domain eşleşmez. Eğer normalde otomatik doldurulan bir sitede şifre yöneticisi devreye girmiyorsa, bu ciddi bir uyarı işareti.
- Otomatik doldurma çalışmıyorsa dur ve URL’yi kontrol et
- Manuel şifre girişi yapmadan önce iki kez düşün
- Şifre yöneticisinin önerdiği siteyle bulunduğun site aynı mı karşılaştır
Frequently Asked Questions
Sahte giriş sayfasına bilgilerimi girdim, ne yapmalıyım?
Hemen o hesabın şifresini değiştir. Aynı şifreyi başka sitelerde de kullanıyorsan, onları da güncelle. İki faktörlü doğrulamayı (2FA) aktif et. Banka veya finansal bir hesapsa, bankanı arayıp durumu bildir. Hesap hareketlerini birkaç hafta boyunca takip et.
HTTPS olan her site güvenli midir?
Hayır. HTTPS sadece senin ile site arasındaki bağlantının şifreli olduğunu gösterir. Sitenin kendisinin güvenilir olduğu anlamına gelmez. Dolandırıcılar da ücretsiz SSL sertifikası alabilir. HTTPS gerekli ama yeterli değil; domain adını ve diğer işaretleri de kontrol etmelisin.
Mobil cihazlarda sahte sayfaları tespit etmek daha zor mu?
Evet, çünkü mobil tarayıcılarda adres çubuğu daha küçük ve bazen gizleniyor. Tam URL’yi görmek için adres çubuğuna dokunman gerekebilir. Mobilde ekstra dikkatli ol ve mümkünse hassas işlemleri bilgisayardan yap.
E-posta içindeki linkler yerine ne yapmalıyım?
E-postadaki linke tıklamak yerine tarayıcını aç ve sitenin adresini manuel olarak yaz. Örneğin banka e-postası aldıysan, linke tıklama; tarayıcına bankanın adresini kendin gir. Bu basit alışkanlık seni phishing saldırılarının büyük çoğunluğundan korur.
Sahte siteleri bildirmek mümkün mü?
Evet. Google Safe Browsing üzerinden şüpheli siteleri bildirebilirsin. Ayrıca tarayıcıların çoğunda “Bu siteyi bildir” seçeneği var. Türkiye’de BTK’nın ihbar mekanizmalarını da kullanabilirsin. Bildirdiğin siteler incelenir ve tehlikeli bulunursa engellenir.
Sonuç: Dikkatli Ol, Güvende Kal
Sahte giriş sayfaları her geçen gün daha sofistike hale geliyor. Ancak temel kontrolleri alışkanlık haline getirirsen, bu tuzaklara düşme olasılığın çok azalır. URL’yi kontrol et, tarayıcı uyarılarını ciddiye al, aciliyet yaratan mesajlara şüpheyle yaklaş ve mümkünse şifre yöneticisi kullan.
Unutma: Gerçek şirketler senden e-posta veya SMS yoluyla acil şifre girişi istemez. Şüphelendiğinde linke tıklamak yerine siteye doğrudan git. Bu basit adımları uygulayarak hem kendi hesaplarını hem de kişisel bilgilerini koruma altına alabilirsin.