Telefonunuza gelen bir SMS’te “Kargonuz teslim edilemedi, tıklayın” yazıyorsa ve o gün hiçbir sipariş vermemişseniz, muhtemelen bir SMS ile dolandırıcılık (smishing) girişimiyle karşı karşıyasınız. Bu saldırı türü, klasik e-posta oltalamacılığının mobil versiyonu olarak düşünülebilir; ancak SMS’in doğrudan ve kişisel algılanması, tıklama oranlarını e-postaya kıyasla çok daha yükseğe çıkarıyor.
Kısa Tanım: Smishing, “SMS” ve “phishing” kelimelerinin birleşiminden oluşur. Dolandırıcıların kısa mesaj yoluyla kişisel bilgilerinizi, banka şifrelerinizi veya kredi kartı detaylarınızı ele geçirmeye çalıştığı bir sosyal mühendislik tekniğidir.
Kilit Çıkarım: Türkiye’de mobil bankacılık kullanımının artmasıyla birlikte SMS tabanlı dolandırıcılık vakaları da ciddi oranda yükseldi. Saldırganlar artık çok daha sofistike yöntemler kullanıyor; bu yüzden “klasik” uyarı işaretlerini bilmek yetmiyor.
Smishing Mesajlarını Tanımanın 12 Kritik İşareti
Aşağıdaki listeyi bir “kontrol listesi” gibi kullanabilirsiniz. Gelen SMS’te bu işaretlerden bir veya birkaçı varsa, yüksek ihtimalle dolandırıcılık girişimiyle karşı karşıyasınız.
1. Aciliyet Yaratan Dil
“Hesabınız 24 saat içinde kapatılacak”, “Hemen işlem yapmazsanız erişiminiz engellenecek” gibi ifadeler, panik yaratarak mantıklı düşünmenizi engellemeyi amaçlar. Gerçek kurumlar nadiren bu kadar agresif bir dil kullanır.
2. Kısaltılmış veya Şüpheli Bağlantılar
bit.ly, tinyurl veya rastgele karakter dizileri içeren linkler büyük bir kırmızı bayraktır. Bankalar ve resmi kurumlar genellikle kendi alan adlarını kullanır. “www.garantibbva.com” yerine “garanti-guvenlik.xyz” gibi bir adres görüyorsanız, kesinlikle tıklamayın.
3. Bilinmeyen veya Maskelenmiş Gönderici Numarası
Mesaj “+1” veya garip ülke kodlarıyla başlayan numaralardan geliyorsa dikkatli olun. Bazı dolandırıcılar “BANKA” veya “KARGO” gibi alfanumerik gönderici kimlikleri de kullanabilir; ancak bu da güvenilirlik garantisi değildir.
4. Yazım ve Dilbilgisi Hataları
“Hesabınız askıya alındı” yerine “Hesabınız askiya alindi” gibi Türkçe karakter eksiklikleri veya tuhaf cümle yapıları, profesyonel olmayan bir kaynağa işaret eder. Kurumsal iletişimde bu tür hatalar kabul edilemez.
5. Beklenmedik Kargo/Teslimat Bildirimleri
Sipariş vermediğiniz halde “Kargonuz bekliyor” mesajı almak, en yaygın smishing senaryolarından biridir. Özellikle yoğun alışveriş dönemlerinde (Black Friday, bayram öncesi) bu tür mesajlar artar.
Pro İpucu: Gerçek kargo firmalarının takip numarası olmadan “tıklayın” demesi son derece nadirdir. Şüphelendiğinizde, kargo firmasının resmi sitesine manuel olarak girin.
6. Ödül veya Çekiliş Kazandınız Mesajları
“Tebrikler! 50.000 TL kazandınız” veya “iPhone 15 çekilişini kazandınız” gibi mesajlar, heyecan yaratarak tıklama oranını artırmayı hedefler. Katılmadığınız bir çekilişi kazanmanız matematiksel olarak imkânsızdır.
7. Kişisel Bilgi Talebi
Hiçbir banka veya resmi kurum SMS yoluyla TC kimlik numarası, şifre, CVV kodu veya OTP (tek kullanımlık şifre) istemez. Bu bilgileri talep eden her mesaj, istisnasız dolandırıcılıktır.
8. “Hesabınızda Şüpheli İşlem” Uyarısı
Korku faktörünü kullanan bu mesajlar, “Hesabınızdan 5.000 TL çekildi, iptal için tıklayın” şeklinde gelir. Gerçek bankalar şüpheli işlemlerde sizi arar veya uygulama üzerinden bildirim gönderir; SMS’te link paylaşmaz.
9. Devlet Kurumu Taklidi
SGK, Maliye, e-Devlet gibi kurumları taklit eden mesajlar özellikle tehlikelidir. “Vergi iadesi için tıklayın” veya “SGK borcunuz var” gibi mesajlar, resmi görünümlü sahte sitelere yönlendirir.
10. QR Kod İçeren SMS
Yeni nesil smishing saldırılarında QR kodlar kullanılıyor. “Bu kodu tarayarak ödemenizi tamamlayın” gibi mesajlar, sizi zararlı sitelere yönlendirebilir. SMS içinde QR kod görmek başlı başına bir uyarı işaretidir.
11. Zaman Baskısı ve Son Tarih
“Bugün gece yarısına kadar”, “Son 2 saat” gibi ifadeler, düşünmeden hareket etmenizi sağlamak için tasarlanmıştır. Meşru kurumlar genellikle makul süreler tanır ve birden fazla hatırlatma gönderir.
12. Tanıdık Kişi Gibi Davranan Mesajlar
“Merhaba, numaramı değiştirdim, bu yeni numaram” veya “Acil para lazım, bu hesaba gönder” gibi mesajlar, yakınlarınızı taklit eder. Bu tür mesajlarda mutlaka kişiyi farklı bir kanaldan (eski numara, sosyal medya) doğrulayın.
Smishing Saldırılarından Korunma Yöntemleri
| Önlem | Uygulama Zorluğu | Etkinlik |
|---|---|---|
| Bilinmeyen linklere tıklamamak | Kolay | Yüksek |
| İki faktörlü doğrulama (2FA) kullanmak | Orta | Çok Yüksek |
| Spam filtresi aktif tutmak | Kolay | Orta |
| Resmi uygulamalardan işlem yapmak | Kolay | Yüksek |
| Şüpheli mesajları BTK’ya bildirmek | Kolay | Toplumsal Fayda |
Risk Seviyesi: Smishing saldırılarına maruz kalan ve link tıklayan kullanıcıların önemli bir kısmı, dakikalar içinde banka hesaplarından para çekilmesiyle karşılaşıyor. Maddi kayıp riski yüksek.
Şüpheli SMS Aldığınızda Ne Yapmalısınız?
- Mesajdaki hiçbir linke tıklama ve hiçbir numarayı arama.
- Gönderici numarasını not al ve mesajı silmeden önce ekran görüntüsü al.
- Eğer banka veya kurum adı geçiyorsa, o kurumun resmi web sitesine veya uygulamasına kendin girerek durumu kontrol et.
- Mesajı 137’ye (BTK İstenmeyen SMS Şikâyet Hattı) ilet.
- Eğer yanlışlıkla tıkladıysan ve bilgi girdiysen, hemen bankanı ara ve kartlarını bloke ettir.
Doğru Bilinen Yanlışlar
- “Sadece yaşlılar kandırılır”: Araştırmalar, 25-44 yaş grubunun da yoğun şekilde hedef alındığını gösteriyor. Teknolojiye aşinalık, dikkat eksikliğiyle birleşince risk artıyor.
- “Linke tıklamadıkça güvendeyim”: Bazı gelişmiş saldırılarda sadece mesajı açmak bile cihaz bilgilerinizi sızdırabilir. Şüpheli mesajları açmadan silmek en güvenlisi.
- “Bankam beni korur”: Bankalar birçok güvenlik önlemi alsa da, kullanıcı onayıyla yapılan işlemlerde sorumluluk genellikle kullanıcıya ait. Paranızı geri almak çok zor olabilir.
Sıkça Sorulan Sorular
Smishing mesajını açmak tehlikeli mi?
Mesajı sadece okumak genellikle zararsızdır; asıl tehlike linke tıklamak veya bilgi paylaşmaktır. Ancak bazı gelişmiş saldırılarda mesaj önizlemesi bile veri sızdırabilir, bu yüzden şüpheli mesajları hızlıca silmek en iyisidir.
Dolandırıcılar numaramı nereden buluyor?
Veri sızıntıları, sosyal medya profilleri, çekilişlere katılım formları ve karanlık web’de satılan veritabanları en yaygın kaynaklardır. Numaranızı her yerde paylaşmamak riski azaltır.
137’ye şikâyet etmek işe yarıyor mu?
BTK, toplanan verilerle toplu engelleme ve soruşturma başlatıyor. Bireysel geri dönüş almayabilirsiniz, ancak toplumsal korumaya katkı sağlarsınız.
Sonuç
SMS dolandırıcılığı, basit görünümüne rağmen son derece etkili bir saldırı yöntemidir. Yukarıda sıralanan 12 işareti aklınızda tutarak, şüpheli mesajları kolayca ayırt edebilirsiniz. Temel kural basit: Beklemediğiniz bir mesajda link varsa, o linke tıklamayın. Merak ettiğiniz konuyu doğrudan ilgili kurumun resmi kanallarından kontrol edin.
Unutmayın: Hiçbir acil durum, düşünmeden tıklamanızı gerektirmez. Bir dakikalık tereddüt, binlerce liralık kaybı önleyebilir.