Smishing, dolandırıcıların SMS yoluyla kullanıcıları kandırarak kimlik bilgisi, kart verisi, şifre veya diğer kişisel verilerini ele geçirmeye çalıştığı bir sosyal mühendislik saldırısı türüdür. Genellikle banka, devlet kurumu, kargo firması veya bilinen markalar taklit edilir.

Smishing engellenebilir mi?

Operatör ve güvenlik çözümleri belirli mesajları filtreleyebilse de tüm smishing saldırılarını teknik olarak engellemek mümkün değildir. Bu nedenle en güçlü savunma hattı, kullanıcı ve çalışanların smishing konusunda bilinçlendirilmesi ve düzenli farkındalık çalışmaları yapılmasıdır.

Yanlışlıkla smishing linkine tıklarsam ne yapmalıyım?

Linke tıkladıysanız ancak herhangi bir bilgi girmediyseniz, cihazınızda zararlı yazılım kurulmadığından emin olmak için güncel bir antivirüs taraması yapmanız önerilir. Eğer şifre, kart bilgisi veya SMS doğrulama kodu paylaştıysanız, derhal bankanızla iletişime geçmeli ve ilgili şifreleri değiştirmelisiniz.

Kurumlar smishing riskini nasıl yönetebilir?

Kurumlar; smishing farkındalık eğitimleri, SMS phishing simülasyonları, resmi iletişim politikalarının belirlenmesi, mobil cihaz güvenlik politikaları ve olay bildirim süreçlerinin tanımlanması gibi adımlarla smishing riskini yönetebilir. Bu önlemler, KVKK kapsamındaki teknik ve idari tedbirler arasında da önemli bir yere sahiptir.

SMS Phishing (Smishing) Nedir? Örnekler, KVKK Riski ve Korunma Yöntemleri

Siber Farkındalık • Smishing • KVKK Uyumlu Yaklaşım

SMS Phishing (Smishing) Mobil Cihazlarda Yeni Nesil Tehdit

Q: Şüpheli bir SMS aldığımda ne yapmalıyım?

Şüpheli bir SMS aldığınızda mesajdaki linke tıklamayın ve SMS’e yanıt vermeyin. İlgili olduğu iddia edilen banka veya kurumla doğrudan resmi çağrı merkezi, mobil uygulama veya web sitesi üzerinden iletişime geçerek durumu teyit edin. Mesajı silin ve numarayı mümkünse engelleyin.

Q: Smishing KVKK kapsamında veri ihlali sayılır mı?

Smishing sonucunda kişisel verilerin yetkisiz kişiler tarafından ele geçirilmesi halinde KVKK anlamında veri ihlali söz konusu olabilir. Bu durumda veri sorumlusu kurumun ihlalden haberdar olması halinde, Kanun ve Kurul kararları çerçevesinde bildirim yükümlülükleri gündeme gelebilir.

Smishing, yani SMS phishing; saldırganların kısa mesajlar (SMS) üzerinden sosyal mühendislik teknikleri kullanarak bireyleri ve kurum çalışanlarını kimlik bilgisi, kart verisi, şifre ve benzeri kritik bilgileri paylaşmaya ikna etmeye çalıştığı modern bir dolandırıcılık yöntemidir. Özellikle banka, kargo, devlet kurumu ve bilinen markalar taklit edilerek kullanıcıların güven duygusu hedef alınır.

Türkiye’de artan mobil bankacılık ve SMS tabanlı bildirim kullanımı, smishing saldırılarını hem bireysel kullanıcılar hem de kurumlar açısından öncelikli bir siber risk haline getirmiş durumda. Bu rehber; kavramı sadeleştirerek anlatan, KVKK boyutunu ele alan ve hem bireyler hem de kurumlar için uygulanabilir farkındalık önerileri sunan pratik bir kaynak olarak tasarlandı.

Smishing Simülasyonu ve KVKK Uyumlu Farkındalık Programı
Kurum içi politikalar, çalışan eğitimleri ve smishing simülasyonlarıyla mobil tehditlere karşı direnç kazandırılmış bir siber farkındalık programı tasarlayabilirsiniz.

SSS Bölümüne Git

1. SMS Phishing (Smishing) Nedir?

Smishing, İngilizce “SMS” ve “phishing” kelimelerinin birleşiminden oluşan bir kavramdır. Temel olarak; dolandırıcıların SMS yoluyla sahte içerikler göndererek kullanıcıları kandırmaya ve kişisel ya da finansal bilgilerini ele geçirmeye çalıştığı sosyal mühendislik saldırısı türünü ifade eder.

Saldırganlar, mesajlarda çoğunlukla banka, e-devlet, kargo firması, GSM operatörü veya bilinen markalar gibi güven duyulan kurumları taklit eder. Mesajın içeriği, kullanıcının panik, merak veya fırsatı kaçırma korkusu (FOMO) gibi duygularını tetikleyecek şekilde hazırlanır.

Smishing saldırılarında tipik olarak şu hedefler söz konusudur:

İnternet bankacılığı kullanıcı adı, şifre, tek kullanımlık SMS bilgilerinin ele geçirilmesi,
Kimlik numarası, kart bilgisi, cep telefonu numarası gibi kişisel verilerin toplanması,
Cihazlara zararlı uygulama veya casus yazılım yükletilmesi,
Kullanıcıların sahte ödeme sayfalarına yönlendirilerek dolandırılması.

Kritik nokta şudur: Mesajın “SMS ile gelmiş” olması, içeriğin meşru olduğu anlamına gelmez. Smishing saldırıları, aynı e-posta phishing örneklerinde olduğu gibi son derece ikna edici ve gerçekçi hazırlanabilir.

2. Smishing Saldırganları Kullanıcıları Nasıl Kandırır?

SMS phishing saldırılarının başarısı, mesajın teknik karmaşıklığından çok, insan psikolojisini ne kadar iyi hedef aldığıyla ilgilidir. Aşağıda, smishing saldırılarında en sık kullanılan taktikler özetlenmiştir:

1) Tanıdık Gönderen Algısı

Saldırganlar, gerçek banka veya resmi kurum adlarını; hatta bazı durumlarda eski mesaj dizilerini bile taklit edecek şekilde gönderen adını değiştirebilir. Kullanıcı, daha önce aynı başlık altında meşru bildirimler gördüğü için mesajı sorgulamadan açma eğilimine girer.

2) Acil Durum ve Panik

“Hesabınız askıya alındı”, “Hesabınızdan şüpheli işlem yapıldı”, “Hakkınızda icra işlemi başlatıldı”, “E-Devlet şifreniz yetkisiz kişi tarafından kullanıldı” gibi ifadelerle panik duygusu tetiklenir. Kullanıcı, düşünmek yerine refleks hareket eder.

3) Cazip Teklif ve Kampanyalar

Ücretsiz hediye, indirim kuponu, yüksek tutarlı çekiliş ödülü gibi mesajlar, bu kez de kullanıcının fırsat odaklı davranmasını hedefler. “Son gün”, “sınırlı kontenjan” gibi ifadelerle acele etmesi sağlanır.

4) Korku ve Baskı Taktikleri

“Şu saate kadar işlem yapmazsanız hesabınız kapatılacaktır”, “Vergi borcunuz nedeniyle yasal süreç başlayacaktır” gibi tehditkâr ifadeler, kullanıcının mantıklı sorgulama yapmadan linke tıklamasına yol açar.

5) Dil ve Yazım Taklidi

Mesajlar çoğu zaman, hedef alınan kurumun tonunu, kullanılan kalıpları ve imla yapısını taklit eder. Logonun veya imzanın SMS içinde görsellerle değil, metinsel olarak taklidi bile kullanıcı üzerinde meşruiyet algısı yaratmaya yetebilir.

3. Smishing Saldırı Türleri ve Örnek Senaryolar

Smishing saldırıları, mesajın türüne ve hedeflenen aksiyona göre farklı senaryolar üzerinden kurgulanır. Aşağıdaki örnekler, Türkiye’de sık karşılaşılan türleri temsil eder:

1) Sahte Banka Mesajları

“Bankanızdan” geliyormuş gibi görünen mesajlarda; hesabınızda şüpheli işlem olduğu, kartınızın bloke edildiği veya mobil bankacılık erişiminizin askıya alındığı iddia edilir. Mesajın devamında sözde güvenlik doğrulaması için bir link paylaşılır.

Link, bankanın alan adına çok benzeyen sahte bir domain’e yönlendirir.
Kullanıcıdan kullanıcı adı, şifre, SMS ile gelen tek kullanımlık kod istenir.
Bazen kart numarası, son kullanma tarihi ve CVV bilgisi de talep edilir.

2) Sahte Paket Teslimatı Mesajları

Kargo firması veya lojistik şirketi gibi davranan saldırganlar, “Adres yetersizliği”, “Teslim edilemeyen kargo” veya “Gümrük ücreti” bahanesiyle link gönderir. Bu linkler:

Sahte bir takip sayfası üzerinden kimlik ve adres bilgilerini toplar,
Küçük bir ücret tahsil etme bahanesiyle kart bilgilerini ister,
Bazı durumlarda cihazınıza zararlı uygulama indirtmeye çalışır.

3) Sahte Fatura veya Borç Bildirimi

Elektrik, doğalgaz, internet sağlayıcı veya kamu kurumu gibi görünen mesajlarda, “Ödenmemiş faturanız bulunmaktadır” veya “Hesabınıza icra dosyası açılmıştır” gibi ifadeler kullanılır. Kullanıcıdan “detayı görüntüle” linkine tıklaması istenir.

4) Ödül, Hediye ve Kazanç Mesajları

Yarışma kazanıldığı, çekilişte adınızın çıktığı veya sadakat programı kapsamında puan kazandığınız iddia edilir. Bilgilerinizi girmeniz halinde ödülünüzü alabileceğiniz belirtilir. Bu tür mesajlarda:

Form doldurma üzerinden kimlik bilgileriniz toplanır,
Bankacılık işlemleri için kullanılabilecek detaylar istenebilir,
Sosyal medya hesaplarınıza erişim için parola reset senaryoları kurgulanabilir.

Uyarı: Hiçbir banka, resmi kurum veya güvenilir marka SMS üzerinden kart bilgisi, internet bankacılığı şifresi veya tek kullanımlık doğrulama kodu talep etmez. Bu tür bir talep görüyorsanız, mesajın dolandırıcılık olma ihtimali çok yüksektir.

4. Bireysel Kullanıcılar için Smishing’den Korunma Yöntemleri

Smishing saldırılarından korunmak, çoğu zaman teknik bilgi gerektirmez; temel prensipleri doğru uygulamak yeterlidir. Aşağıdaki maddeler, bireysel kullanıcılar için pratik bir kontrol listesi niteliğindedir:

Gönderen bilgisine körü körüne güvenmeyin. Mesaj başlığında banka veya kurum ismi görmeniz, içeriğin meşru olduğu anlamına gelmez.
SMS içindeki linklere tıklamayın. Banka veya kurum sitelerine, her zaman tarayıcıya adresi kendiniz yazarak veya favori linkleriniz üzerinden ulaşın.
SMS üzerinden kişisel veya finansal bilgi paylaşmayın. T.C. Kimlik No, kart bilgisi, şifre, tek kullanımlık kod gibi verileri asla SMS ile yanıtlamayın.
Şüpheli mesajları silin ve engelleyin. Tekrar tekrar gelen mesajlarda numarayı engelleyin ve operatörünüzle iletişime geçin.
Güncel güvenlik yazılımları kullanın. Antivirüs / antimalware çözümleri, bazı zararlı link ve dosyaları otomatik bloklayabilir.
Uygulama yüklerken dikkatli olun. Mesaj içinden yönlendirilen mağaza dışı (store dışı) uygulamaları asla kurmayın.
Güçlü ve benzersiz parolalar kullanın. Aynı şifreyi birden fazla platformda kullanmayın; mümkünse parola yöneticisi tercih edin.

Şüpheli bir SMS aldıysanız, linke tıklamak yerine doğrudan bankanızın resmi çağrı merkezini veya mobil uygulamasını kullanarak durumu teyit etmeniz her zaman en güvenli yaklaşımdır.

5. Kurumlar için Smishing’e Karşı Politika ve Teknik Önlemler

Smishing, sadece bireysel kullanıcıları değil, kurumsal yapıları da doğrudan hedef alabilen bir saldırı türüdür. Saldırganlar, çalışanları kandırarak kurumsal sistemlere giriş yapmayı, VPN bilgilerini veya kritik iş uygulamalarına erişimi ele geçirmeyi hedefleyebilir.

Kurumlar için önerilen başlıca aksiyonlar şunlardır:

Siber farkındalık programı oluşturun. Tüm çalışanlara düzenli aralıklarla smishing ve sosyal mühendislik eğitimleri verin.
Simülasyon kampanyaları yürütün. Gerçek hayata yakın smishing senaryoları ile çalışanların davranışlarını ölçün, sonuçları departman bazında raporlayın.
Resmi iletişim politikası yayınlayın. Kurum olarak SMS ile hangi içerikleri göndermediğinizi çalışanlara açıkça belirtin (örneğin “SMS ile şifre istemiyoruz”).
Mobil cihaz güvenliğini yönetin. Kurumsal cihazlarda MDM/MAM çözümleriyle güvenlik politikalarını zorunlu hale getirin.
İhlal bildirim süreçlerini tanımlayın. Çalışanların şüpheli SMS’leri kolayca iletebileceği bir iletişim kanalı (örneğin güvenlik ekibi e-posta adresi) oluşturun.
Log ve olay yönetim süreçlerini güçlendirin. Şüpheli giriş denemeleri, beklenmedik oturum açma lokasyonları ve olağan dışı işlemleri SIEM üzerinden izleyin.

Bu adımlar; sadece smishing’e karşı değil, genel olarak kimlik avı ve sosyal mühendislik saldırılarına karşı kurumsal dayanıklılığı artırır.

6. Smishing ve KVKK: Kişisel Veri Güvenliği Açısından Riskler

Smishing saldırıları, çoğu durumda doğrudan kişisel veri ihlali ile sonuçlanma potansiyeline sahiptir. Dolayısıyla, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) çerçevesinde veri sorumlusu olan kurumlar için kritik bir uyum başlığıdır.

Smishing ile elde edilen veriler aşağıdaki türlerde olabilir:

T.C. Kimlik numarası, ad-soyad, doğum tarihi gibi kimlik bilgileri,
Cep telefonu, e-posta, adres gibi iletişim bilgileri,
IBAN, kart numarası, son kullanma tarihi gibi finansal veriler,
Sistemlere erişim için kullanılan kullanıcı adı ve parola bilgileri.

Bu verilerin yetkisiz üçüncü kişilerce ele geçirilmesi, hukuki anlamda kişisel veri ihlali niteliği taşıyabilir ve veri sorumlusu kurum açısından bildirim yükümlülüğü, idari para cezası ve itibar riski doğurabilir.

Kurumların bu kapsamda dikkat etmesi gereken temel başlıklar:

Smishing riskinin, kişisel veri envanteri ve risk analizi çalışmalarına dahil edilmesi,
Teknik ve idari tedbirler kapsamında farkındalık eğitimleri ve simülasyon çalışmaları yürütülmesi,
Olası bir smishing vakasında, veri ihlali tespitine ilişkin süreçlerin netleştirilmesi ve KVKK Veri İhlali Bildirim prosedürlerinin tasarlanması.

7. Smishing Farkındalığını Artırmak için Öneriler

Smishing ile mücadelede en güçlü savunma hattı, farkındalığı yüksek kullanıcılar ve çalışanlardır. Aşağıdaki öneriler, hem bireyler hem de kurumlar için sürdürülebilir bir bilinç düzeyi yaratmaya yardımcı olur:

Güncel örnekler üzerinden sık ve kısa eğitimler düzenleyin.
İç iletişim kanallarında (intranet, e-posta, Slack/Teams vb.) periyodik “siber güvenlik ipuçları” paylaşın.
Önemli kampanya dönemlerinde (indirim günleri, vergi dönemleri, seçim süreçleri) ek uyarı duyuruları yapın.
Gelen şüpheli mesajların ekran görüntülerini anonimleştirerek örnek vaka analizi olarak paylaşın.
Yönetim ekibinin de bu sürece sahip çıkmasını sağlayın; üst yönetimin kullandığı dil, çalışanlar için referans niteliğindedir.

Unutmayın: Hiçbir banka veya resmi kurum sizden SMS yoluyla kişisel bilgi veya şifre talep etmez. Böyle bir talep içeren mesaj, neredeyse kesin olarak dolandırıcılık girişimidir. Emin olamadığınız durumlarda, mesajdaki linkler yerine doğrudan kurumun resmi iletişim kanallarını kullanın.

Smishing ve Sosyal Mühendislik Riskini Kurumunuzda Ölçmek
İç politika, prosedür ve eğitim setleri ile desteklenen bir siber farkındalık programı, smishing gibi hedefli saldırı türlerine karşı en kalıcı savunma hattını oluşturur.

En Üste Dön

Sık Sorulan Sorular: Smishing, SMS Dolandırıcılığı ve KVKK

Smishing ile klasik phishing arasındaki fark nedir?

Klasik phishing genellikle e-posta üzerinden yürütülürken, smishing saldırıları SMS kanalı üzerinden gerçekleştirilir. Temel amaç aynıdır: Kullanıcıyı kandırarak bilgi elde etmek veya zararlı işlem yaptırmak. Fark, kullanılan iletişim kanalındadır.

Şüpheli bir SMS aldığımda ne yapmalıyım?

Öncelikle mesajdaki linke tıklamamalı ve SMS’e yanıt vermemelisiniz. Mesaj bir banka veya resmi kurum adını kullanıyorsa, durumu doğrudan resmi çağrı merkezi numarası veya mobil uygulama üzerinden teyit edin. Mesajı silin ve numarayı mümkünse engelleyin.

Yanlışlıkla smishing linkine tıklarsam ne olur?

Link, sizi sahte bir siteye yönlendiriyorsa ve herhangi bir bilgi girmediyseniz, risk görece düşüktür ancak cihazınıza zararlı yazılım yüklenmemiş olduğundan emin olmanız gerekir. Eğer kart bilgisi, şifre, SMS doğrulama kodu gibi bilgiler girdiyseniz, derhal bankanızla iletişime geçmeli ve şifrelerinizi değiştirmelisiniz.

Smishing, KVKK açısından hangi durumlarda veri ihlali sayılır?

Smishing sonucunda kişisel verilerin, özellikle de finansal veya kimlik bilgilerinin yetkisiz kişiler tarafından ele geçirilmesi halinde veri ihlali söz konusu olabilir. Bu durumda veri sorumlusu kurumların, KVKK kapsamındaki bildirimi gerektiren yükümlülükleri doğabilir.

Operatörler smishing’e karşı koruma sağlar mı?

Operatörler şüpheli görülen bazı başlık ve numaraları filtrelese de, tüm smishing mesajlarının engellenmesi teknik olarak mümkün değildir. Bu nedenle nihai sorumluluk kullanıcıda ve kurumların farkındalık programlarındadır.

Kurumlar smishing’e karşı hangi adımları önceliklendirmeli?

Kurumların öncelikle farkındalık eğitimleri, smishing simülasyonları, resmi iletişim politikalarının yayımlanması ve olay bildirim süreçlerinin tanımlanması adımlarını hayata geçmesi önerilir. Bu önlemler, KVKK kapsamındaki teknik ve idari tedbirler arasında da önemli bir yere sahiptir.