Siber Güvenlik Tehditleri: Phishing, Ransomware ve Social Engineering
Modern siber güvenlik tehditleri ve korunma yöntemleri. Phishing, ransomware, social engineering saldırıları ve kurumsal güvenlik politikaları.
Siber Güvenlik Tehditleri: Phishing, Ransomware ve Social Engineering
Siber saldırıların %90'ı insan faktörünü hedef alır. En güçlü güvenlik duvarı bile dikkatsiz bir kullanıcıyı koruyamaz. Bu rehberde modern siber tehditleri ve korunma yollarını ele alacağız.
1. Phishing (Oltalama) Saldırıları
Phishing, kullanıcıları sahte web siteleri veya e-postalar aracılığıyla kimlik bilgilerini çalmaya yönelik saldırılardır.
Phishing Türleri:
- E-posta phishing: Sahte banka/firma e-postaları
- Spear phishing: Belirli kişiyi hedef alan kişiselleştirilmiş saldırı
- Smishing: SMS aracılığıyla phishing
- Vishing: Telefon araması ile sosyal mühendislik
- Pharming: DNS zehirleme ile sahte siteye yönlendirme
Phishing E-postası Tanıma:
Dikkat edilmesi gerekenler:
✗ Gönderen adresi: noreply@bank-guvenli.com (sahte)
✓ Gerçek adres: noreply@bank.com.tr
✗ Urgency (aceleye getirme): "Hesabınız 24 saat içinde kapatılacak!"
✗ Şüpheli link: http://bank-giris-paneli.xyz
✓ Hover ile link önizleme yapın
✗ Ek dosya: "hesap_bilgileri.exe"
Korunma Yöntemleri:
1. E-posta doğrulama protokolleri:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication)
2. İki faktörlü kimlik doğrulama (2FA) kullanın
3. Şifre yöneticisi kullanın (phishing'e karşı korur)
4. E-posta filtreleme çözümü (Microsoft Defender, Proofpoint)
5. Personel farkındalık eğitimi
2. Ransomware (Fidye Yazılımı)
Ransomware, dosyaları şifreleyerek fidye talep eden kötü amaçlı yazılımdır.
Fidye Yazılımı Nasıl Yayılır?
- Phishing e-posta ekleri
- Güvenlik açığı olan RDP erişimi
- Güncellenmeyen yazılımlar
- USB sürücüler
Tanınan Ransomware Ailesi:
- WannaCry (2017): NSA exploit'i ile yayıldı, 150 ülkeyi etkiledi
- NotPetya (2017): En yıkıcı siber saldırılardan biri
- REvil: Büyük şirketleri hedef alan RaaS grubu
- LockBit: Aktif olarak faaliyet gösteren grup
Fidye Yazılımı Koruması:
# 1. Düzenli yedekleme (3-2-1 kuralı)
# 3 kopya - 2 farklı medya - 1 uzak lokasyon
# Yedekleme örneği
restic backup /var/www --repo /backups/local
restic backup /var/www --repo s3:bucket/backups
# 2. Ağ segmentasyonu - kritik sistemleri izole edin
# 3. En az yetki prensibi - kullanıcılara minimum yetki
# 4. Uç nokta koruma (EDR çözümleri)
Enfekte Olunduğunda:
Acil adımlar:
1. Etkilenen sistemi hemen ağdan koparın
2. Siber olayı kayıt altına alın
3. Yedekten geri yükleme yapın
4. Fidye ÖDEMEYİN (sizi hedef haline getirir)
5. Yetkili mercilere bildirin (TR-CERT: cert.gov.tr)
3. Social Engineering (Sosyal Mühendislik)
İnsan psikolojisini istismar eden manipülasyon teknikleri.
Social Engineering Teknikleri:
Pretexting (Senaryo oluşturma):
Saldırgan: "Merhaba, BT departmanından arıyorum.
Sisteminizde sorun tespit ettik.
Şifrenizi sıfırlamamız gerekiyor..."
Baiting (Yem bırakma):
Şüpheli USB flash bellek "Maaş Listesi Q4" etiketiyle
bırakılır, meraklı çalışan takar ve malware çalışır.
Tailgating:
Yetkisiz kişi, yetkili çalışanın arkasından güvenli
alana giriş yapar ("kapıyı tutabilir misiniz?")
Korunma:
1. Kimlik doğrulamayı telefon değil, kurumsal kanal üzerinden yapın
2. Şifrenizi hiçbir zaman telefonla/e-postayla paylaşmayın
3. "Acele" içeren isteklere şüpheyle yaklaşın
4. Fiziksel güvenlik politikalarını uygulayın
5. Düzenli güvenlik farkındalık eğitimi (simüle phishing)
4. Supply Chain (Tedarik Zinciri) Saldırıları
Güvenilir yazılım veya bileşen aracılığıyla sisteme sızma.
Örnekler:
- SolarWinds (2020): IT yönetim yazılımı güncelleme kanalı ele geçirildi
- Log4Shell (2021): Log4j açığı milyonlarca sistemi etkiledi
- Kötü niyetli npm paketleri: Popüler paket isimleri taklit edilir
Korunma:
# Bağımlılıkları düzenli tarayın
npm audit
pip-audit
snyk test
# SBOM (Software Bill of Materials) oluşturun
# Tüm kullanılan yazılımları ve sürümleri takip edin
5. MitM (Man-in-the-Middle) Saldırıları
Saldırgan iki taraf arasındaki iletişimi dinler veya değiştirir.
HTTP'de (şifresiz): Saldırgan her şeyi görebilir
HTTPS'de: Şifreli, ama sertifika doğrulama önemli
Korunma:
- Her zaman HTTPS kullanın
- Sertifika uyarılarını ASLA görmezden gelmeyin
- Halka açık WiFi'de VPN kullanın
- Certificate Pinning (mobil uygulamalar için)
Güvenlik Politikası Kontrol Listesi
- Güçlü şifre politikası uygulanıyor
- 2FA zorunlu
- Personel phishing simülasyonu yapılıyor
- Yama yönetimi süreci var
- Incident response planı hazır
- Düzenli yedekleme ve geri yükleme testi
- Ağ segmentasyonu yapılmış
- Güvenlik logları izleniyor (SIEM)
Sunucu güvenliğinizi güçlendirmek için Büyükweb hosting çözümlerimizi inceleyin. ModSecurity WAF, Imunify360 ve DDoS koruması ile altyapı seviyesinde güvenlik sağlıyoruz.
Web Guvenligi Kontrol Listesi
SSL/TLS Yapilandirmasi
TLS 1.2 ve 1.3 destekleyin, eski protokolleri devre disi birakin. HSTS etkinlestirin. SSL Labs testinde A+ hedefleyin.
Guvenlik Basliklari
X-Content-Type-Options, X-Frame-Options, Content-Security-Policy ve Permissions-Policy yapilandirin. XSS ve clickjacking koruması saglayin.
WAF Korumasi
ModSecurity veya Imunify360 ile SQL injection, XSS saldirilarina karsi koruma. OWASP kurallarini aktif edin. Rate limiting ile brute-force onleyin.
Malware Tarama
Imunify360 veya ClamAV ile duzenli tarama. Dosya degisikliklerini izleyin. Suphelileri karantinaya alin.
Parola Politikasi
Minimum 12 karakter, karma karakterler, 2FA etkinlestirme. Parola yoneticisi kullanin.
Yedekleme ve Felaket Kurtarma
Duzenli yedek alin ve test edin. Offline kopya tutun. Felaket kurtarma planini dokumante edin.
Sik Sorulan Sorular
Ucretsiz SSL ile ucretli farki nedir?
Let's Encrypt teknik olarak ayni sifreleme sunar. Ucretli sertifikalar garanti ve OV/EV dogrulama sunar.
Mixed content nasil cozulur?
Tum URL'leri https ile guncelleyin. WordPress'te Better Search Replace ile toplu guncelleme yapin.
Sertifika suresi doldu ne olur?
Ziyaretciler uyari gorur, SEO duser. certbot renew ile otomatik yenileme kullanin.
Sonuc
Guvenlik surekli bir surectir. Katmanli yaklasim ile sitenizi koruyun. Buyukweb paketlerinde Imunify360 ve ucretsiz SSL dahildir.
SSL Sertifika Turleri
| Tur | Dogrulama | Kullanim | Fiyat |
|---|---|---|---|
| DV (Domain) | Domain sahipligi | Kisisel site, blog | Ucretsiz-dusuk |
| OV (Organization) | Sirket dogrulama | Kurumsal site | Orta |
| EV (Extended) | Detayli dogrulama | Banka, e-ticaret | Yuksek |
| Wildcard | Tum subdomainler | Coklu subdomain | Orta-yuksek |
Let's Encrypt Otomatik Yenileme
Certbot ile sertifikalari otomatik yenileyin. Cron veya systemd timer ile 60 gunde bir yenileme zamanlayIn.
Guvenlik Denetim Kontrol Listesi
- SSL/TLS versiyonlari guncel mi?
- Guvenlik basliklari dogru yapilandirildi mi?
- WAF kurallari aktif mi?
- fail2ban calisiyor mu?
- Gereksiz portlar kapali mi?
- Root girisi devre disi mi?
- 2FA aktif mi?
- Yedekler duzenli aliniyor mu?
- Dosya izinleri dogru mu?
- Kullanilmayan servisler kapatildi mi?
Bu listeyi ayda bir kontrol ederek sunucunuzun guvenligini ust seviyede tutun.
Turkiye'de Hosting Sektoru 2025-2026
Sektorel Trendler
Turkiye hosting pazari hizla buyumektedir. E-ticaretin genislemesi, dijitallesme calismalarI ve uzaktan calisma trendi hosting talebini artirmaktadir. NVMe SSD, HTTP/3 ve edge computing gibi teknolojiler hosting performansini yeni seviyelere tasimaktadir.
Dikkat Edilmesi Gerekenler
Hosting sektoru rekabetci bir pazardir. Dusuk fiyat vaat eden ancak altyapı kalitesinden odun veren firmalardan kacinin. Gizli maliyet, yenileme fiyat artisi ve yetersiz destek en sik karsilasilan sorunlardir.
Hosting Firmasi Secim Kriterleri
- Veri merkezi lokasyonu: Turkiye'de veri merkezi olan firmalari tercih edin
- Uptime garantisi: Minimum %99.5, ideal %99.8+
- Teknik destek: 7/24 Turkce destek zorunlu
- Guvenlik: DDoS korumasi, SSL, WAF dahil olmali
- Yedekleme: Gunluk otomatik yedekleme olmali
- Olceklenebilirlik: Ihtiyac artiginda kolayca yukseltme yapilabilmeli
- Musteri yorumlari: Gercek kullanici deneyimlerini arastirin
Buyukweb 2009'dan beri bu kriterlerin tumunu karsilayarak 5.200+ musteriye guvenilir hosting hizmeti sunmaktadir. Sorulariniz icin 0850 302 60 70 numarasini arayabilir veya destek@buyukweb.com adresine yazabilirsiniz.
Sik Yapilan Hosting Hatalari
Hosting secimi ve yonetiminde en sik karsilasilan hatalar:
1. Sadece Fiyata Bakmak
En ucuz hosting her zaman en iyi secim degildir. Performans, guvenlik ve destek kalitesi fiyattan daha onemlidir. Dusuk maliyetli hostinglerde yenileme fiyatlari genellikle cok daha yuksektir.
2. Yedekleme Almamak
Otomatik yedekleme olsa bile, onemli degisikliklerden once manuel yedek almak hayati onem tasir. Yedeklerin geri yuklenebilirligini test etmeyen sirketler veri kaybi yasadiginda ciddi sorunlarla karsilasir.
3. Guncellemeleri Ertelemek
WordPress, eklentiler ve isletim sistemi guncellemelerini ertelemek guvenlik aciklarına davetiye cikarir. Otomatik guvenlik guncellemeleri yapilandirmak en temel onlemdir.
4. SSL Kullanmamak
Hala SSL sertifikasi olmayan web siteleri mevcut. SSL olmadan Google siralama duser, ziyaretci guveni azalir ve veri guvenligi tehlikeye girer. Ucretsiz Let's Encrypt sertifikasi bile yeterlidir.
5. Kaynak Planlamasi Yapmamak
Trafik artisina hazirliksiz yakalanmak, sitenizin cokmesine neden olabilir. Trafik trendlerini izleyin ve ihtiyac halinde kaynakları zamaninda artirin.
Etiketler:
