Sahte giriş sayfası nasıl anlaşılır? Tarayıcı üzerinden hızlı kontrol

E-postanıza düşen “Hesabınız askıya alındı” uyarısı, sizi hemen bir giriş sayfasına yönlendiriyor. Kullanıcı adı ve şifrenizi girmek üzeresiniz ama bir şeyler garip geliyor. İşte tam bu anda sahte giriş sayfası nasıl anlaşılır sorusunun cevabını bilmek, dijital kimliğinizi kurtarabilir. Phishing saldırıları her geçen gün daha sofistike hale geliyor; ancak tarayıcınız üzerinden yapacağınız birkaç basit kontrol, sizi büyük bir dertten kurtarabilir.

Kilit Çıkarım: Sahte giriş sayfaları genellikle URL yapısı, SSL sertifikası ve görsel detaylarda kendini ele verir. Bu kontrolleri 30 saniyede yapabilirsiniz.

Başlamadan Önce

Phishing sayfalarını tespit etmek için özel bir yazılıma ihtiyacınız yok. Güncel bir tarayıcı ve biraz dikkat yeterli.

Gerekenler:

• Güncel bir web tarayıcısı (Chrome, Firefox, Edge veya Safari)
• Aktif internet bağlantısı
• Orijinal sitenin URL’sini bilmek (örn: facebook.com, instagram.com)

Ön Koşullar:

• Tarayıcınızın güvenlik uyarılarını kapatmamış olmanız
• Pop-up engelleyicinin aktif olması
• Mümkünse şifre yöneticisi kullanıyor olmanız (otomatik doldurma özelliği sahte sitelerde çalışmaz)

Sahte Giriş Sayfasını Tespit Etmenin 7 Adımı

Aşağıdaki kontrolleri sırayla uygulayın. Herhangi birinde şüpheli bir durum görürseniz, sayfayı hemen kapatın.

1. URL’yi dikkatlice inceleyin: Adres çubuğuna bak. “facebook.com” yerine “faceb00k.com”, “facebook-login.com” veya “facebook.security-check.com” gibi varyasyonlar görüyorsan, bu kesinlikle sahte bir site. Orijinal alan adının tam olarak doğru yazıldığından emin ol.
2. HTTPS ve kilit simgesini kontrol edin: Adres çubuğunun başında kilit simgesi olmalı. Ancak dikkat: Artık sahte siteler de SSL sertifikası alabiliyor. Kilit simgesi tek başına güvenlik garantisi değil, sadece ilk filtre.
3. Sertifika detaylarına bakın: Kilit simgesine tıklayıp “Sertifika” veya “Bağlantı güvenli” seçeneğine girin. Sertifikanın kime verildiğini kontrol edin. Büyük şirketlerin sertifikalarında şirket adı açıkça yazar (örn: “Meta Platforms, Inc.”).
4. Sayfa tasarımındaki hataları arayın: Logo kalitesi düşük mü? Yazı fontları tutarsız mı? Türkçe karakterlerde bozukluk var mı? Profesyonel şirketler bu hataları yapmaz.
5. Bağlantıları test edin: Sayfadaki “Şifremi Unuttum”, “Kayıt Ol” veya “Yardım” linklerine tıkla (bilgi girmeden önce). Sahte sayfalarda bu linkler ya çalışmaz ya da aynı sayfaya yönlendirir.
6. Kaynak kodunu inceleyin: Sayfaya sağ tıklayıp “Sayfa Kaynağını Görüntüle” seçeneğine tıklayın. Form action URL’sine bakın. Bilgilerinizin nereye gönderileceğini görebilirsiniz. Şüpheli bir domain görürseniz, sayfa sahtedir.
7. Şifre yöneticinizi test edin: LastPass, 1Password veya tarayıcının yerleşik şifre yöneticisi kullanıyorsanız, otomatik doldurma özelliğinin çalışıp çalışmadığına bakın. Bu araçlar domain eşleşmesi yapar; sahte sitede şifrenizi önermezler.

Pro İpucu: Şüphelendiğin bir sayfada asla gerçek bilgilerini girme. Test etmek istiyorsan, “test@test.com” ve “123456” gibi sahte bilgiler gir. Sahte siteler genellikle her girişi “başarılı” kabul eder veya seni başka bir sayfaya yönlendirir.

Gelişmiş Kontrol Yöntemleri

Yukarıdaki adımlar çoğu sahte sayfayı yakalar. Ancak daha sofistike saldırılar için ek önlemler alabilirsiniz.

WHOIS Sorgusu Yapın

Şüpheli sitenin domain bilgilerini who.is veya whois.com üzerinden sorgulayın. Yeni kayıtlı domainler (birkaç gün veya hafta önce) ve gizli kayıt bilgileri kırmızı bayraktır.

VirusTotal ile Tarayın

virustotal.com adresine gidin ve şüpheli URL’yi yapıştırın. 70’ten fazla güvenlik motoru sayfayı tarar ve risk değerlendirmesi sunar.

Google Safe Browsing Kontrolü

Google’ın Şeffaflık Raporu sayfasından (transparencyreport.google.com) site durumunu kontrol edebilirsiniz. Bilinen phishing siteleri burada işaretlenir.

Süre: Tüm bu kontroller toplamda 2-3 dakikanızı alır. Risk Seviyesi: Kontrol yapmadan giriş bilgisi paylaşmak → Yüksek risk.

Yaygın Hatalar: Bunları Sakın Yapmayın

• E-postadaki linke doğrudan tıklamak: Banka veya sosyal medya hesabınızla ilgili bir uyarı aldıysanız, linke tıklamak yerine tarayıcıya adresi elle yazın.
• Sadece kilit simgesine güvenmek: SSL sertifikası artık ücretsiz alınabiliyor. Kilit simgesi “şifreli bağlantı” anlamına gelir, “güvenilir site” değil.
• Mobilde URL’yi kontrol etmemek: Mobil tarayıcılarda adres çubuğu kısaltılmış görünür. Tam URL’yi görmek için adres çubuğuna dokunun.
• Panik halinde hareket etmek: “Hesabınız 24 saat içinde silinecek” gibi aciliyet yaratan mesajlar, sizi düşünmeden hareket ettirmeye çalışır. Durun, düşünün, kontrol edin.

Mini Senaryo: Şu Durumda Ne Yaparsın?

Senaryo: WhatsApp’tan arkadaşınızın hesabından bir mesaj geldi: “Bu fotoğrafta sen misin?” ve bir link var. Linke tıkladınız, Instagram giriş sayfası açıldı.

Yapmanız gereken:

1. Hiçbir bilgi girme
2. URL’yi kontrol et (instagram.com mı?)
3. Sayfayı kapat
4. Arkadaşını farklı bir kanaldan (telefon, yüz yüze) uyar – hesabı hacklenmiş olabilir
5. Eğer bilgi girdiysen, hemen gerçek Instagram’a git ve şifreni değiştir

Sıkça Sorulan Sorular

Sahte siteye bilgilerimi girdim, ne yapmalıyım?

Hemen orijinal siteye gidin ve şifrenizi değiştirin. İki faktörlü doğrulamayı (2FA) aktif edin. Aynı şifreyi başka sitelerde de kullanıyorsanız, onları da değiştirin. Banka bilgisi girdiyseniz, bankanızı arayın.

Tarayıcım uyarı vermedi, site güvenli mi?

Tarayıcı uyarıları her zaman güncel olmayabilir. Yeni oluşturulan phishing siteleri henüz kara listeye alınmamış olabilir. Manuel kontrol her zaman gereklidir.

VPN kullanmak phishing’e karşı korur mu?

Hayır. VPN, internet trafiğinizi şifreler ve IP adresinizi gizler. Ancak sahte bir siteye bilgilerinizi girerseniz, VPN sizi korumaz. Phishing’e karşı en iyi savunma bilinçli kullanıcı davranışıdır.

Mobil uygulamalar üzerinden de phishing olabilir mi?

Evet. Sahte uygulamalar veya uygulama içi tarayıcıda açılan sahte sayfalar aynı riski taşır. Uygulama indirirken resmi mağazaları (App Store, Google Play) tercih edin ve geliştirici bilgilerini kontrol edin.

Sonuç

Sahte giriş sayfalarını tespit etmek, teknik bilgi gerektiren bir iş değil. URL kontrolü, sertifika incelemesi ve sayfa detaylarına dikkat etmek, sizi phishing saldırılarının büyük çoğunluğundan korur.

Hatırlanması gereken üç altın kural:

• E-postadaki linklere tıklamak yerine adresi elle yazın
• Aciliyet yaratan mesajlara karşı soğukkanlı olun
• Şüphe duyduğunuz anda bilgi girmeyin, sayfayı kapatın

Dijital güvenlik, pahalı yazılımlardan çok bilinçli davranışla sağlanır. Bu kontrolleri alışkanlık haline getirdiğinizde, phishing saldırıları sizin için ciddi bir tehdit olmaktan çıkar.