Türkiye’deki Şirketleri Hedef Alan Güncel Phishing (Oltalama) ve Ransomware E-posta Trendleri

19 Haziran 2026

E-posta, işletmeler için başlıca iletişim araçlarından biri olmaya devam ettiği için siber güvenliğin kritik bir bileşenidir. Bununla birlikte, hassas bilgileri tehlikeye atmak için çeşitli güvenlik açıklarından yararlanan siber suçlular için de önemli bir hedeftir. Yaygın e-posta tehditleri arasında kimlik avı, ransomware ve kötü amaçlı yazılım saldırıları yer alır ve bunların her biri işletmeler için önemli riskler oluşturur. E-posta tehditleri geliştikçe, Türkiye’deki işletmelerin etkili güvenlik en iyi uygulamalarını benimsemesi ve çalışanlar arasında güvenlik bilincini artırması şarttır.

Türkiye’deki Şirketleri Hedef Alan Güncel Phishing (Oltalama) ve Ransomware Saldırıları

Kötü amaçlı yazılımlar ve fidye yazılımları, tüm dünyada olduğu gibi Türkiye’de de bireyleri ve işletmeleri giderek daha çok etkileyen siber saldırı biçimleridir. 

Ülkemizi hedef alan güncel saldırılar aşağıdakileri içermektedir:

JanaWare Fidye Yazılımı

Siber güvenlik firması Acronis’in yeni bir raporuna göre, siber suçlular Türkiye’deki insanları hedef almak için JanaWare adlı yeni bir fidye yazılımı türü kullanmaktadır. Araştırmacılar, fidye yazılımı operasyonunun 2020’den beri devam ettiğini, sistem yerel ayarına ve harici IP coğrafi konumuna dayalı yürütme kısıtlamaları uygulayan bir kötü amaçlı yazılım türüyle ilişkili olduğunu ve faaliyetini yalnızca Türkiye’deki sistemlerle sınırlandırdığını belirtti.

Acronis’s göre, fidye taleplerinin 200 ila 400 dolar civarında seyrettiği bu saldırının amacı, bilgisayar korsanlarının muhtemelen düşük değerli ve yüksek hacimli bir yaklaşımı tercih etmesinden kaynaklanmaktadır. Fidye yazılımı, genel olarak küçük ila orta ölçekli işletmelere karşı kullanılmakta ve çoğu, kötü amaçlı Java arşivleri içeren kimlik avı e-postaları yoluyla enfekte olmaktadır.

Saldırılar, “ağır gizleme de dahil olmak üzere tespit ve analizi engelleyen” çeşitli özellikler içeren Adwind adlı bir kötü amaçlı yazılım türüyle başlar.

Analiz edilen birçok olay, Microsoft Outlook üzerinden okunan bir e-postayla başladı. E-postadaki bir Google Drive bağlantısı, kötü amaçlı bir dosyanın indirilmesine yol açan bir süreci tetikledi. Acronis, popüler bir kamu forumunda bulunan ve Outlook’ta bir e-posta açtıktan sonra cihaz dosyalarının JanaWare tarafından şifrelendiğini doğrulayan bir mağdur raporunu paylaştı.

Kötü amaçlı yazılım, mağdurun sistem konumunu, dilini ve ülke ayarlarını kontrol ediyor ve Türkçe dil ve konumla eşleşmesini gerektiriyor. Sistem yalnızca Türkiye’de ise çalışmaya devam ediyor.

ShadowRoot Fidye Yazılımı

X-Labs araştırması, Türk işletmelerini hedef alan temel bir fidye yazılımını tanımlandı. Saldırı vektörü, “internet[.]ru” alan adından kaynaklanan şüpheli e-postalar aracılığıyla yayılan bir PDF ekiyle başlıyor. PDF içindeki gömülü bağlantılar, kullanıcı etkileşimi üzerine sonraki aşama olan bir exe yükünün indirilmesini kolaylaştırıyor. Dosyaları ise “.shadowroot” uzantısıyla şifreliyor. Şu anda fidye yazılımı, sağlık ve çevrimiçi alışveriş sektörleri de dahil olmak üzere dünya çapında çok sayıda işletmeyi aktif olarak hedef alıyor.

Phishing (Oltalama) ve Ransomware E-posta Trendleri

Kimlik avı saldırıları ve fidye yazılımları, tüm dünyada olduğu gibi Türkiye’de de her zamankinden daha karmaşık hale gelmektedir ve işletmeleri aldatmak için en son teknolojiler kullanılmaktadır.

Aşağıdaki listede, Türkiye’deki şirketlerin bir numaralı siber saldırı vektörlerine karşı savunma yaparken dikkate alınması gereken yeni ve en yaygın trendler bulunmaktadır:

Sahte E-posta Ekleri

Bir eki açmak veya bir bağlantıya tıklamak zararsız görünebilir, ancak bu ekler kontrolsüz bir kaynaktan geliyorsa sonuçlar felaket olabilir. Yeni fidye yazılımı taktikleri, bunları bir işletmenin veri depolama alanına giriş noktası olarak kullanır. Bu ekler, “İK Bordro Tarihleri ​​Değişiyor” veya “Şirket Kartı Cezaları” gibi işle ilgili konuları hedefleyebilir. Bağlantılar ciddi, önemli ve işle ilgili sayfalar gibi görünebilir. Başlıklar, çalışanları e-postayı açma telaşında dolandırıcılığın belirgin işaretlerini gözden kaçırmasına neden olmak için kullanılır. Ancak gerçekte, bu bağlantılar virüsler veya bilgisayar korsanlarının sisteminize girip verilere veya önemli şirket bilgilerine erişmesine olanak tanıyan güvenli olmayan sitelere bağlantılar içerebilir.

Yapay Zeka Tarafından Oluşturulan Kimlik Avı E-postaları

Siber suçlular, yapay zekayı kullanarak meşru iletişimleri şaşırtıcı bir doğrulukla taklit eden kişiselleştirilmiş e-postalar oluşturmaktadır. Sosyal medya profillerini ve dijital ayak izlerini analiz eden yapay zeka araçları, güvenilir kişilerden geliyormuş gibi görünen ikna edici mesajlar oluşturarak çalışanların dolandırıcılıkları tespit etmesini zorlaştırır.

Bulut Hizmetlerinin Marka Taklit Yöntemiyle Kimlik Avı

Türkiye’deki işletmelerin kritik hizmetler için Microsoft 365 ve Google Workspace gibi bulut tabanlı platformlara giderek daha fazla güvenmesiyle birlikte, kimlik avı saldırılarının riski de arttı. Siber suçlular, bu popüler bulut hizmetlerine duyulan güveni kullanarak, bu platformlardan gelen resmi iletişimleri (örneğin parola sıfırlama istekleri, güvenlik uyarıları veya hizmet güncellemeleri) taklit etmektedir. Amaç, giriş bilgilerini çalmak, kötü amaçlı yazılım yaymak veya hassas şirket verilerine yetkisiz erişim sağlamaktır.

Özellikle pandemi sonrası dönemde uzaktan çalışma ve bulut benimsemenin artmasıyla birlikte, güvenilir bulut hizmetlerinin marka taklitini kullanan kimlik avı girişimleri daha sık ve karmaşık hale gelmektedir.

Deepfake Teknolojisi ile İş E-posta Dolandırıcılığı (BEC)

İş E-posta Dolandırıcılığı (BEC), bilgisayar korsanlarının genellikle üst düzey yöneticiler gibi güvenilir kişileri taklit ederek çalışanları para transferi yapmaya veya hassas bilgileri paylaşmaya kandırdığı bir siber saldırıdır. Siber suçlular, bu saldırıları daha karmaşık hale getirmek için deepfake teknolojisini giderek daha fazla kullanır ve çalışanları kritik kararlar almaya yönlendiren son derece gerçekçi ses ve video iletişimleri oluşturur. Giderek yaygınlaşan bir taktik ise sesli kimlik avı (vishing) olup, saldırganlar sahte sesler kullanarak çalışanları arayıp para transferi veya gizli veriler gibi acil işlemler talep ederler.

Çok Kanallı Kimlik Avı Saldırıları

Çok kanallı kimlik avı saldırıları giderek daha fazla ivme kazanmaktadır. Bu saldırılar, siber suçluların tek bir kimlik avı operasyonunda aynı hedefi çeşitli platformlar (e-posta, kısa mesaj, sosyal medya ve sesli aramalar) kullanarak hedef almasını içerir. Amaç, hedefin farklı platformlara olan güvenini istismar ederek başarı olasılığını artırmaktır.

Bir bilgisayar korsanı, sahte bir web sitesine bağlantı içeren bir kimlik avı e-postası gönderebilir, ardından müşteri destek temsilcisi gibi davranarak, hedeflenen kişinin hesap bilgilerini onaylamasını isteyebilir, sahte siteye giriş yapmasını isteyen bir WhatsApp mesajı gönderebilir veya telefon görüşmesi yapabilir. Bu platformlar arası yaklaşım, hedeflenen kişinin çeşitli güvenilir iletişim kanalları aracılığıyla iletişime geçilmesi nedeniyle saldırıyı tespit etmeyi zorlaştırır ve daha inandırıcı hale getirir.

Quishing

HTML e-postalarında veya eklerinde kötü amaçlı QR kodlarının kullanılmasıyla ilgilidir. Tarandığında, bu kodlar hassas bilgileri çalmak veya cihazlara kötü amaçlı yazılım indirmek için tasarlanmış sahte web sitelerine yönlendirebilir. Yeni varyantlar arasında, taramadan sonra hedefi değiştiren dinamik QR kodları bulunur ve bu da tespiti daha da zorlaştırır.

İçeriden İş Birliği

Şaşırtıcı bir trend, bilgisayar korsanlarının aktif olarak içeriden kişileri işe almasıdır. İçeriden gelen tehditler her zaman var olsa da, bu tür doğrudan rüşvet karşılığı erişim yeni bir durumdur. Bu, bilgisayar korsanlarının zorlu hedeflere garantili giriş için ödeme yapmaya istekli olduklarını gösterir. Bu nedenle işletmeler, sosyal mühendisliğe karşı sadece dışarıdan değil, içeriden de (çalışanlara verilen olağandışı finansal teşvikleri izleyerek, görevlerin sıkı bir şekilde ayrılmasını sağlayarak) önlem almalıdır.

Tedarik Zinciri Aracılığıyla Saldırılar

Yazılım tedarik zincirlerindeki güvenlik açıklarından yararlanan fidye yazılımı saldırıları artış göstermektedir. Siber suçlular, işletmelere sızmak için giderek daha fazla güvenilir üçüncü taraf satıcıları veya hizmet sağlayıcılarını hedef alır. Bir ortak tehlikeye girdiğinde, fidye yazılımı birden fazla işletmeye yayılabilir ve yaygın aksamalara neden olabilir.

Hassas Verilere Yönelik Saldırılar

Finansal ve sağlık bilgileri gibi hassas verileri hedef almak, fidye yazılımı grupları için odak noktası haline geldi. Bu tür verilerin yüksek değeri, işletmelerin paha biçilmez verilerini koruma baskısı altında olmaları nedeniyle, başarılı fidye ödemelerinin olasılığını artırmaktadır.

Fidye yazılımı grupları genellikle çift şantaj tekniğini kullanır: verileri şifreleyip çalarlar, ardından fidye ödenmezse verileri serbest bırakmakla tehdit ederler. 

Yapay Zeka Destekli Fidye Yazılımı Saldırıları

Yapay zeka, siber suçluların çabalarını daha yüksek hassasiyetle otomatikleştirmelerine ve iyileştirmelerine olanak tanıyarak fidye yazılımı saldırılarını dönüştürmektedir. Yapay zeka ile saldırganlar potansiyel hedefler hakkında bilgi toplayabilir, güvenlik açıklarını tarayabilir ve hedef alınacak yüksek değerli varlıkları belirleyebilir. Bu da çabalarını daha başarılı ve karlı hale getirir.

Hizmet Olarak Fidye Yazılımı (RaaS) ve Yönetilmeyen Cihazlar

Hizmet Olarak Fidye Yazılımı (RaaS), fidye yazılımlarındaki en endişe verici trendlerden biridir. RaaS, düşük becerili siber suçluların bile gelişmiş fidye yazılımı saldırıları başlatmasına olanak tanır. Genellikle deep web’de satılan bu hizmetler, çeşitli hedefler için özelleştirilebilen önceden oluşturulmuş fidye yazılımı kitleri sağlar.

Buna paralel olarak, uzaktan çalışma ve Kendi Cihazını Getir (BYOD) politikalarının yükselişi, siber güvenlikte önemli bir güvenlik açığı yaratır. Genellikle şirket sistemlerinin güvenlik önlemlerinden yoksun olan bu kişisel cihazlar, fidye yazılımı saldırıları için başlıca hedeflerdir. Siber suçlular, kullanıcıların kişisel cihazlarında kimlik avı bağlantılarına tıklama veya kötü amaçlı dosyaları indirme eğilimlerinin artmasından yararlanarak kurumsal ağlara erişim elde ederler.