E-posta Sahtekarlığı Nedir? Tanım ve Örnekler

23 Şubat 2026

E-posta, dünya çapındaki çoğu kurum için en önemli iletişim aracıdır. Sayısız çevrimiçi mağaza ve birçok kurum, günlük iletişimlerini e-posta yoluyla yürütmektedir. Bu yoğun kullanım da e-posta dolandırıcılığına kapı açmaktadır. Bu nedenle, e-posta dolandırıcılığıyla nasıl başa çıkılacağını öğrenmek her zamankinden daha önemlidir. Kötü niyetli kişiler e-postaların önemini bildikleri için dikkatli olmazsanız, kolayca gelen kutunuza girebilirler.

Dolandırıcılık Nedir?

Dolandırıcılığı önlemek, dolandırıcılığın ne olduğunu anlamakla başlar. Dolandırıcılık, failin bir fayda elde etmek için hedef kişiyi aldatmak amacıyla kasıtlı olarak gerçekleştirdiği bir eylemdir. Başka bir deyişle, finansal veya başka türlü bir kazanç elde etmek için yanlış beyanlara dayanan her türlü faaliyet dolandırıcılık olarak tanımlanır.

Dolandırıcılık, tek bir kişi veya bir grup tarafından gerçekleştirilebilir. Yaygın dolandırıcılık türleri aşağıdakileri içermektedir:

• Vergi dolandırıcılığı
• Banka veya kredi kartı dolandırıcılığı
• Sigorta dolandırıcılığı
• Sağlık hizmetleri dolandırıcılığı
• Menkul kıymet dolandırıcılığı
• Kimlik dolandırıcılığı
• Çevrimiçi dolandırıcılık

Özellikle e-posta dolandırıcılığı, çevrimiçi ortamda karşılaşabileceğiniz en yaygın dolandırıcılık türlerinden biridir.

E-posta Sahtekarlığı Nedir?

E-posta sahtekarlığı veya e-posta dolandırıcılığı, e-posta yoluyla gerçekleştirilen her türlü dolandırıcılık faaliyetini ifade etmek için kullanılan terimlerdir. E-posta dolandırıcılığının birçok türü vardır ve amaçları aşağıdakileri içermektedir:

• Veri hırsızlığı
• Finansal hırsızlık
• Kimlik bilgisi hırsızlığı
• Elektronik dolandırıcılık
• Tedarik zinciri saldırıları
• Kötü amaçlı yazılım bulaşması

En yaygın e-posta sahtekarlığı türleri arasında, bireyler ve kurumlar için sürekli bir tehdit oluşturan çeşitli kimlik avı saldırıları yer alır. Bu siber saldırılar genellikle sosyal mühendislik taktikleri kullanarak hedeflenen kişilere aciliyet veya heyecan hissi aşılar ve onları dolandırır. 

Basit ve meşru görünen bir e-posta, kullanıcıları fidye yazılımı veya casus yazılım gibi kötü amaçlı yazılımları bilgisayarlarına veya cihazlarına indiren kötü amaçlı bir bağlantıya tıklamaya yönlendirebilir. Bir başka popüler teknik ise, hedeflenen kişileri hesaplarının ele geçirildiğine veya bir ödül kazandıklarına ikna etmek için sahte e-postalar kullanmaktır. 

Her iki durumda da, hedefler kimlik bilgilerini vermeleri için dolandırılır ve kötü niyetli kişiler bu bilgileri daha fazla dolandırıcılık veya hırsızlık yapmak için kullanır. Ayrıca ön ödeme dolandırıcılığı da popüler taktiklerden biridir. Bu dolandırıcılık türünde, dolandırıcılar hedeflenen kişilere bir ücret ödedikten sonra harika iş fırsatları, nakit ödüller veya farklı teşvikler vaat eder. Bu dolandırıcılık yöntemleri daha kişisel de olabilir. Hedeflenen kişileri temel olarak “catfished” olur ve faillere para göndermeleri istenir. 

Spear phishing veya business email compromise (BEC) gibi daha karmaşık dolandırıcılık yöntemleri ise, genellikle kurumların üst düzey yöneticilerini hedef alır. Bu tür hedefli saldırılar, kötü niyetli kişilerin başarılı bir şekilde gerçekleştirebilmeleri için çok fazla araştırma yapmalarını gerektirdiğinden, onlar için büyük çaba gerektirir. Ancak, bilgisayar korsanları genellikle hedeflenen kişilerin kendilerine para göndermeleri veya kurumun gizli verilerini ifşa etmeleri için kandırarak büyük kazançlar elde eder. 

Çoğu durumda, dolandırıcılar pandemi veya Kraliçe II. Elizabeth’in ölümü gibi dünya çapındaki olayları istismar ederler. Her iki olay sırasında e-posta dolandırıcılığı saldırılarında artış yaşandı ve sayısız dolandırıcılık, farkında olmayan kişileri etkiledi. 

Hemen hemen her e-posta sahtekarlığı girişiminin amacı aynıdır: finansal kazanç elde etmek veya çevrimiçi satmak için hassas veriler toplamak. Sonuç her zaman olumsuzdur. Çoğu zaman, ihlali ancak gerçekleştiğinde fark edersiniz. Sonuçlar genellikle oldukça kötü olur. Kişisel düzeyde, kimlik hırsızlığı, parasal kayıp vb. ile uğraşmak zorunda kalabilirsiniz.

Önemli bir çevrimiçi varlığa sahip bir işletme yönetiyorsanız, günlük operasyonlarınızda veya tedarik zincirinizde aksaklıklar, banka havalesi dolandırıcılığı ve sızan patentler gibi daha fazla zorlukla karşılaşabilirsiniz.

Kurumlar ve E-posta Sahtekarlığı

E-posta sahtekarlığı en yaygın dolandırıcılık türlerinden biri olduğu için, işletmeleri hedef alması oldukça mantıklıdır. Çünkü bilgisayar korsanları, büyük kurumlarla şanslarını deneyerek daha büyük kazançlar elde edebilir. Bu nedenle, CEO fraud günümüzde çok yaygındır ve tüm şirket personeli, kimlik avı saldırılarını ve bunları nasıl tespit edeceklerini anlamak için eğitilmelidir.

Aşağıdaki sektörler, e-posta sahtekarlığının en sık hedef aldığı sektörlerden bazılarıdır:

Finans ve Bankacılık

Finans sektörü son yıllarda giderek dijitalleşti. Günümüzde neredeyse tüm finansal işlemler çevrimiçi olarak gerçekleştirilmektedir. Kötü niyetli kişiler genellikle bu durumu, hedeflenen kişilerin bankasından geliyormuş gibi görünen sahte e-postalarla istismar eder. Çoğu zaman düşük seviyeli girişimlerde bulunurlar, ancak BEC saldırıları, şirket içinde para transferi yapma yetkisine sahip kişileri hedef almak için özenle tasarlanır.

Sağlık

Sağlık alanındaki dolandırıcılık, internetin ortaya çıkmasından bu yana yaygın bir sorundur. İlk zamanlarda, kötü amaçlı yazılım yüklü banner’lar her yerdeydi ve reçetesiz mucizevi haplar veya ilaçlar sunuluyordu. Günümüzde dolandırıcılık daha karmaşık hale geldi. Birçoğu e-posta dolandırıcılığı şeklinde gerçekleşir ve genellikle fidye yazılımı dağıtmak için kurumları, verilerini toplamak için şüphelenmeyen kişileri veya BEC veya kimlik avı saldırısı yoluyla finansal hırsızlık yapmak için hedef alır.

Eğitim

Eğitim sektörü, e-posta dolandırıcılığının başlıca hedefi olmaya devam etmektedir. Yaygın dolandırıcılık yöntemleri arasında, kullanıcı verilerini çalmak amacıyla yapılan toplu kimlik avı kampanyaları ve mali kazanç elde etmek için karar vericileri hedef alan daha özel dolandırıcılık yöntemleri bulunmaktadır.

Kamu

Bilgisayar korsanları, finansal, politik veya veri kazançları için yetkilileri taklit etmekten çekinmez. Sahte e-postalar kullanarak kamu çalışanlarını sahte faturaları ödemeleri, güvenli sistemlere erişim izni vermeleri veya gizli bilgileri ifşa etmeleri için kandırır. Öte yandan, dolandırıcılar vatandaşları kandırmak için kamu yetkililerini taklit eder.

Bu yeni bir şey değildir. Piyango e-postaları, herhangi bir şehirde büyük bir ikramiye olduğunda sıkça görülen bir dolandırıcılık yöntemidir. Ayrıca, IRS’yi taklit eden kişilerden ve sizden bilgi veya para almaya çalışan diğer devlet kurumlarından e-postalar da alabilirsiniz.

Muhtemel Hedefler Kimlerdir?

İş e-postası dolandırıcılarının genellikle hedef aldığı birkaç grup insan vardır. Bunlar aşağıdakileri içerir:

• Üst düzey yöneticiler: Bilgisayar korsanları genellikle hassas bilgilere erişimi olan veya finansal işlemleri onaylama yetkisine sahip yöneticileri hedef alır.
• Muhasebe ve finans personeli: Muhasebe ve finans departmanlarında çalışanlar, finansal bilgilere erişimi olduğu ve yine ödemeleri onaylayabildiği için sıklıkla hedef alınır.
• İnsan kaynakları personeli: Bilgisayar korsanları, kimlik hırsızlığı için kullanılabilecek sosyal güvenlik numaraları gibi çalışan verilerini elde etmek için insan kaynakları personelini hedef alabilir.
• Genel olarak çalışanlar: Bilgisayar korsanları, şirket e-posta hesaplarına veya diğer hassas bilgilere erişimi olan çalışanları da hedef alabilir ve buradan diğer hesaplara geçebilir.
• Müşteriler ve satıcılar: Bilgisayar korsanları, bilgi elde etmek veya dolandırıcılık işlemleri başlatmak için müşteriler veya satıcılar gibi davranabilir.

E-posta Sahtekarlığı Nasıl Tanımlanır?

E-posta sahtekarlığını önlemek, sahte e-postaları tanımakla başlar. Dikkat etmezseniz gözden kaçabilecek bazı özellikleri dolandırıcılık amaçlı e-postalarda fark edebilirsiniz.

• Gönderenin e-posta alanı gerçek kurumdan farklıdır (hiçbir şirket “gmail.com” gibi genel ESP’leri kullanmaz. Kurumsal e-posta alanları kullanırlar).
• E-posta, “değerli müşteri” gibi genel bir hitapla size seslenir.
• E-posta, olağan dışı bir işlem yapmanızı ister.
• E-posta, bir sorunu mümkün olan en kısa sürede çözmek için harekete geçmenizi isteyen bir aciliyet hissi uyandırır.
• E-posta, web sitesini ziyaret etmenizi istemek yerine sorunu doğrudan çözmek için bir bağlantı sağlar.
• E-postadaki dil bilgisi yanlıştır ve kulağa tuhaf gelir.
• E-posta uygun olmayan bir saatte gelir. Çoğu bülten ve iş e-postasının belirli saatlere göre planlandığını unutmayın.
• E-postadaki mesaj bir resim veya başka bir şüpheli ek içerir.

E-posta Sahtekarlığından Kaçınmanın Yolları

E-posta sahtekarlığından kaçınmak, hazırlıklı değilseniz kolay değildir. E-posta dolandırıcılığından kaçınmanın en iyi yolu, sağlam bir önleme stratejisidir. Bu yüzden ekibiniz uygun şekilde eğitilmelidir. E-posta dolandırıcılığının ne olduğunu, nasıl önleneceğini ve nasıl tanınacağını öğrenmeleri gerekir. Dolandırıcılığı önlemenin en iyi yollarından bazıları aşağıdakileri içermektedir:

Hassas Bilgileri Paylaşmaktan Kaçının

Çoğu e-posta sahtekarlığı, insanların tam adı, banka bilgileri, sosyal güvenlik numarası, giriş bilgileri ve daha fazlası gibi hassas bilgileri paylaşmasını sağlamak için tasarlanmıştır. Hiçbir kurum bu tür verileri istemez, özellikle de platformlarına katılmadan önce bu bilgileri bir formda talep etmişlerse. Talep ne kadar meşru görünürse görünsün, güvenli tarafta olmak için bu tür talepleri yöneticinize veya hizmet sağlayıcınıza danışarak iki kez kontrol etmek en iyisidir.

Cihazlarınızı Güncelleyin

Bilgisayarınız ve akıllı telefonunuz, sizi dolandırıcılıktan korumak için yazılımlarını sık sık günceller. Dolandırıcılık içeren bir e-postaya inanmış olsanız bile, cihazlarınızın yerleşik güvenlik sistemi size bir sorun olduğunu bildirebilir. Bu yüzden işletim sistemleriniz ve uygulamalarınız için yazılım güncellemelerini her zaman kabul etmeyi unutmayın.

Veri Yedeklemelerinizi Güncel Tutun

Fidye yazılımları ve diğer kötü amaçlı yazılımlar sistemlerinizi etkileyerek verilerinize erişiminizi engelleyebilir. Sağlam anti-BEC stratejileri uygulamanıza ve e-postalarınızı titizlikle incelemenize rağmen, e-posta dolandırıcılığından etkilenebilirsiniz. Tüm hassas verilerinizin yedeklemelerini güncel tutmak, bu tür olayların işleyişinizi etkilememesini sağlamanın en iyi yoludur.

Çok Faktörlü Kimlik Doğrulama Kullanın

Uygun e-posta sahtekarlığı önleme adımlarını attıktan sonra bile verileriniz üçüncü taraflarca sızdırılabilir. Sony ve Gizmodo gibi şirketlerde büyük sızıntılarla bu tür olaylar yaşanmıştır. Herhangi bir riskten kaçınmak için her şeye MFA uygulayarak hesaplarınızı güvende tutun. Sosyal medya, e-posta ve banka uygulamaları, sizi dolandırıcılıktan koruyabilecek çok faktörlü kimlik doğrulama seçeneğine sahiptir.

DMARC, E-posta Dolandırıcılığını Önlemenize Nasıl Yardımcı Olur?

Bir kurum sahibi olarak, e-posta altyapınız için DMARC’ı uygulayarak CEO dolandırıcılığı ve diğer dolandırıcılıkları önleyebilirsiniz. DMARC olmadan, spam gönderenler ve diğer kötü niyetli kişiler, kurumunuzu taklit eden sahte e-postalar göndermek için alan adınızı taklit edebilir. 

DMARC, SPF ve DKIM ile birlikte çalışarak, e-postaları alan sunuculara kurumunuzdan geldiğini iddia eden mesajlarla ne yapmaları gerektiğini bildirir. Alıcı, her e-postayı DMARC politikanızla karşılaştırarak doğrular ve tüm ESP’ler kimlik doğrulama protokollerine göre işlem yapar. Böylelikle, kötü niyetli kişilerin alan adınızı kullanarak hedeflenen kişileri dolandırmasını etkili bir şekilde engelleyebilirsiniz.

Sonuç olarak e-posta sahtekarlığı, kimlik hırsızlığı, maddi kayıp ve diğer ciddi sonuçlara yol açabilecek önemli bir siber güvenlik tehdididir. Bu dolandırıcılıkların nasıl işlediğini ve nasıl önlenebileceğini anlayarak, bireyler ve kurumlar kendilerini ve hassas bilgilerini koruyabilir.

E-posta sahtekarlığını önlemek için teknoloji ve eğitimin bir arada kullanılması gerekir. Dolandırıcılık amaçlı e-postaları tespit etmek ve engellemek için güvenlik araçları kullanarak, dolandırıcılık amaçlı e-postaların belirtilerini tanımayı öğrenerek ve iyi çevrimiçi alışkanlıklar edinerek, hepimiz e-posta dolandırıcılığıyla mücadeleye katkıda bulunabiliriz.

Siber güvenlik tehditlerinin artmasıyla birlikte, kurumların işlerinin tüm alanlarını korumaları gerekmektedir. Bu, web sitelerini ve web uygulamalarını botlardan, spam’den ve kötüye kullanımdan korumayı da içerir. Özellikle, oturum açma, kayıt ve çevrimiçi formlar gibi web etkileşimleri giderek daha fazla siber saldırıya uğramaktadır.

En Çok Sorulan Sorular

Sahte e-posta nedir?

Sahte e-posta, kötü niyetle gönderilen istenmeyen bir e-postadır. Bu tür e-postaların amacı, alıcıları hassas bilgileri ifşa etmeye veya cihazlarına kötü amaçlı yazılım indirmeye ikna etmektir.

Sahte bir e-postayı nasıl tespit edebilirim?

Sahte e-postalar genellikle yazım veya dilbilgisi hataları, kişisel bilgilerin acil olarak talep edilmesi veya şüpheli bağlantılar içerir. Bu yüzden bilinmeyen gönderenlerden gelen e-postalara veya genel selamlamalar içeren e-postalara karşı dikkatli olun.

Sahte bir e-posta alırsam ne yapmalıyım?

E-postaya yanıt vermeyin ve hiçbir bağlantıya veya ek dosyaya tıklamayın. Bunun yerine, e-postayı kuruluşunuzun BT departmanına bildirin veya hemen silin.

Sahte e-postalardan kendimi korumak için ne yapabilirim?

Sahte e-postalardan kendinizi korumak için antivirüs yazılımı kullanmalı, spam filtrelerini etkinleştirmeli ve cihazınızın işletim sistemini ve uygulamalarını düzenli olarak güncellemelisiniz. Ayrıca, bilinmeyen gönderenlerden gelen veya şüpheli konu satırları içeren e-postaları açarken dikkatli olun.