Phishing Mail Nedir? Oltalama Saldırısı ve Hukuki Süreç (2026)

Phishing mail (oltalama e-postası), sahte kimlik kullanarak kullanıcıları aldatıp şifre, kredi kartı bilgisi veya kişisel verilerini çalmayı amaçlayan siber dolandırıcılık yöntemidir. Phishing mail, genellikle banka, kargo şirketi, vergi dairesi veya sosyal medya platformu adına gönderilir ve kullanıcıdan acil eylem yapması istenir.

Phishing dolandırıcılığı, Türk Ceza Kanunu’nda TCK 158/1-e (Nitelikli Dolandırıcılık – Bilişim Sistemleri Kullanımı) ve TCK 244 (Banka veya Kredi Kartlarının Kötüye Kullanılması) kapsamında düzenlenir ve 4-10 yıl arası hapis cezası gerektirir. 2026 itibariyle Türkiye’de phishing saldırıları %300 artış göstermiştir ve en yaygın siber suç türü haline gelmiştir.

Bu rehberde, phishing mail türlerini, nasıl tespit edileceğini, phishing mail’e tıkladığınızda yapmanız gerekenleri, hukuki süreci ve korunma yöntemlerini detaylı şekilde bulacaksınız.

Phishing Mail Nedir?

Phishing (oltalama), kullanıcıları sahte e-posta, SMS veya web siteleri ile aldatarak hassas bilgilerini çalma tekniğidir. “Phishing” kelimesi, İngilizce “fishing” (balık tutma) kelimesinden türemiştir ve kullanıcıları “oltaya düşürme” metaforunu kullanır.

Phishing Mail Nasıl Çalışır?

Tipik Phishing Senaryosu:

Adım 1: Sahte E-posta Gönderimi

• Fail, banka veya kamu kurumu adına sahte e-posta gönderir
• E-posta profesyonel görünür (logo, imza, resmi dil)

Adım 2: Acil Eylem Talebi

• “Hesabınız askıya alındı, 24 saat içinde tıklayın”
• “Vergi iadesi aldınız, hemen tıklayın”
• “Paketiniz bekliyor, takip için tıklayın”

Adım 3: Sahte Web Sitesine Yönlendirme

• Link, gerçek bankanın sitesine benzer (garrantibbva.com yerine garanntibva.com)
• Kullanıcı şifre, kart numarası, CVV girer

Adım 4: Bilgilerin Çalınması

• Fail, girilen bilgileri otomatik kaydeder
• Gerçek hesaba giriş yapar, parayı çeker

Sonuç: Kullanıcı dolandırılmış olur.

Phishing Mail Türleri

Phishing mail çok çeşitli şekillerde karşımıza çıkar. İşte en yaygın phishing türleri:

1. Sahte Banka Maili

En yaygın phishing türüdür. Kullanıcıya banka adına e-posta gönderilir.

Tipik Mesajlar:

• “Hesabınız güvenlik nedeniyle bloke edildi”
• “Kartınız başka bir cihazda kullanılmaya çalışıldı”
• “Yeni güvenlik güncellemesi için giriş yapın”

Amaç: İnternet bankacılığı şifresi ve kart bilgilerini çalmak

Gerçek Örnek:

Konu: Örnek Banka Güvenlik Uyarısı

Sayın Müşterimiz,

Hesabınızda şüpheli aktivite tespit edildi. Güvenliğiniz için hesabınızı doğrulamanız gerekmektedir.

[HESABIMI DOĞRULA] ← (Sahte link)

Bu işlemi 24 saat içinde yapmazsanız hesabınız kapatılacaktır.

 Örnek Banka Güvenlik Ekibi

Gerçek Banka Asla:

• Link ile şifre sormaz
• E-posta ile kart bilgisi istemez
• Acil eylem talep etmez

2. Sahte Kargo Bildirimi

PTT, Yurtiçi Kargo, MNG Kargo adına gönderilir.

Tipik Mesajlar:

• “Paketiniz bekliyor, teslim alın”
• “Kargo ücreti ödenmemiş, ödeme yapın”
• “Gümrük vergisi ödenecek”

Amaç: Kişisel bilgi toplamak, kredi kartı bilgisi çalmak

Örnek:

Konu: PTT Kargo - Paket Teslimat Bildirimi

Sayın Müşteri,

[İsim Soyisim] adına gönderilen paketiniz şubemizde beklemektedir.

Takip No: PTT123456789
Gönderen: Amazon

Paketi teslim almak için tıklayın: [TIKLAYINIZ]

PTT Kargo

Gerçek Kargo Şirketi:

• SMS veya e-posta ile link göndermez
• Ödeme talep etmez (kapıda ödeme hariç)
• Takip numarası resmi sitede sorgulanır

3. Sahte Vergi Dairesi Maili

Gelir İdaresi Başkanlığı, Vergi Dairesi adına gönderilir.

Tipik Mesajlar:

• “Vergi iadeniz hazır”
• “Vergi borcu var, ödeme yapın”
• “e-Beyanname tamamlanmadı”

Amaç: Kimlik bilgisi, banka hesap numarası çalmak

Örnek:

Konu: Gelir İdaresi - Vergi İadesi Bildirimi

T.C. Kimlik No: 123********

2025 yılı vergi beyannamenize göre 2.450 TL iade hakkınız doğmuştur.

İade almak için tıklayın: [BAŞVUR]

Gelir İdaresi Başkanlığı

Gerçek Vergi Dairesi:

• E-posta ile iade bildirimi yapmaz
• Link ile kimlik bilgisi sormaz
• Resmi işlemler e-Devlet üzerinden yapılır

4. Sahte Sosyal Medya Güvenlik Uyarısı

Instagram, Facebook, LinkedIn adına gönderilir.

Tipik Mesajlar:

• “Hesabınız askıya alındı”
• “Telif hakkı ihlali şikayeti aldık”
• “Başka bir cihazdan giriş yapıldı”

Amaç: Sosyal medya hesap şifresi çalmak

Örnek:

Konu: Instagram Güvenlik Ekibi

Hesabınız (@kullaniciadi) şüpheli aktivite nedeniyle askıya alındı.

Hesabınızı 48 saat içinde doğrulamazsanız kalıcı olarak silinecektir.

[HESABIMI DOĞRULA]

Instagram Güvenlik Ekibi

Gerçek Sosyal Medya:

• Uygulama içi bildirim gönderir
• E-posta ile şifre sormaz
• Resmi e-posta adresleri: @instagram.com, @facebook.com

5. Sahte İş Teklifi Maili

LinkedIn, Indeed, Kariyer.net adına gönderilir.

Tipik Mesajlar:

• “Sizi işe almak istiyoruz”
• “Evden çalışma fırsatı”
• “Yurt dışı iş imkanı”

Amaç: Kimlik fotokopisi, banka bilgisi çalmak veya avans dolandırıcılığı

Örnek:

Konu: Amazon Türkiye - İş Teklifi

Sayın [İsim],

CV'niz incelendi ve pozisyona uygun bulundu.

Pozisyon: Evden Müşteri Temsilcisi
Maaş: 25.000 TL/ay

İşe başlamak için CV'nizi ve kimlik fotokopinizi gönderin.

Amazon İK Departmanı

Gerçek Şirket:

• Resmi e-posta adresi kullanır (@amazon.com.tr)
• İlk görüşme olmadan işe almaz
• Kimlik fotokopisi talep etmez (işe alındıktan sonra)

Phishing Mail Nasıl Anlaşılır?

Phishing mail’i tespit etmek için şu kontrolleri yapın:

Kontrol Listesi

✅ 1. Gönderen E-posta Adresi

Gerçek mi sahte mi?

Gerçek: info@garantibbva.com.tr
Sahte: info@garanti-bbva-guvenlik.com, garanti@gmail.com

İpucu: @ işaretinden sonraki kısım önemlidir. Gerçek şirketler kendi domain’lerini kullanır.

✅ 2. İmla ve Dilbilgisi Hataları

Phishing maillerde genellikle Türkçe hataları vardır:

• “Hesabınız bloke edilmiştir” (doğrusu: bloke edildi)
• “Lütfen tıklayınız” (resmi kurumlar “tıklayınız” demez)
• “Acil olarak doğrulama yapınız”

✅ 3. Acil Eylem Talebi

Phishing mailleri kullanıcıyı panikletir:

• “24 saat içinde tıklamazsanız hesabınız silinecek”
• “Hemen ödeme yapın, aksi halde dava açılacak”
• “Son 1 saat, fırsatı kaçırmayın”

Gerçek şirketler acil eylem talep etmez.

✅ 4. Şüpheli Link Kontrolü

Link üzerine fare ile gel (tıklama!), sol alt köşede gerçek URL görünür.

Gerçek: https://www.xbanka.com.tr/hesabim
Sahte: http://garanti-dogrulama-2026.com

İpucu: HTTPS olması yeterli değildir. Domain adı kontrolü şarttır.

✅ 5. Genel Hitap

Phishing mailleri genellikle genel hitap eder:

• “Sayın Müşterimiz”
• “Sayın Kullanıcı”

Gerçek şirketler adınızla hitap eder: “Sayın Ahmet Yılmaz”

✅ 6. Ek (Attachment) Kontrolü

Phishing mailleri zararlı ek içerebilir:

• .exe, .zip, .rar dosyaları
• “Fatura.pdf.exe” gibi çift uzantılı dosyalar

Asla şüpheli ekleri açmayın.

Phishing Mail’e Tıkladım, Ne Yapmalıyım?

Phishing mail’e tıkladıysanız ve bilgilerinizi girdiyseniz, ilk 24 saat kritiktir. Şu adımları izleyin:

İlk 24 Saat Eylem Planı

1. Bankayı Derhal Ara (İlk 5 Dakika)

✅ Banka müşteri hizmetlerini ara
✅ “Phishing saldırısına uğradım, kartımı bloke edin” de
✅ Hesap hareketlerini kontrol ettir
✅ Şüpheli işlem varsa itiraz et

Önemli: Banka hemen bloke koyarsa, para çekilmesini önleyebilirsiniz.

2. Şifrelerini Değiştir (İlk 30 Dakika)

✅ İnternet bankacılığı şifresi
✅ E-posta şifresi
✅ Sosyal medya şifreleri
✅ E-devlet şifresi

İpucu: Farklı bir cihazdan (telefon, tablet) değiştirin. Bilgisayarınız virüslü olabilir.

3. Antivirüs Taraması Yap (İlk 1 Saat)

✅ Güncel antivirüs programı kullan
✅ Tam tarama (Full Scan) yap
✅ Bulunan tehditleri temizle

Önerilen Programlar: Kaspersky, Bitdefender, ESET, Windows Defender

4. Delil Topla (İlk 24 Saat)

✅ Phishing mail’in ekran görüntüsünü al
✅ E-posta başlık bilgilerini (header) kaydet
✅ Sahte web sitesi URL’sini kaydet
✅ Banka hesap hareketlerini çıkar

5. Şikayet Et (İlk 24-48 Saat)

✅ Cumhuriyet Başsavcılığı’na şikayet dilekçesi
✅ Siber Suçlarla Mücadele Şube Müdürlüğü
✅ E-Devlet üzerinden online başvuru

6. Hukuki Destek Al

Phishing dolandırıcılığında para kaybettiyseniz:

📞 DCA Hukuk: 0543 674 84 09
✉️ info@dcahukuk.com

İlk danışmanlık ücretsizdir. Phishing davalarında blockchain analizi, IP tespiti ve tazminat süreçlerinde destek sağlıyoruz.

Phishing Dolandırıcılığında Hukuki Süreç

Phishing dolandırıcılığı Türk Ceza Kanunu’nda birden fazla suç türünü içerir:

TCK 158/1-e: Nitelikli Dolandırıcılık (Bilişim Sistemleri)

Madde metni: “Bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık suçu işlenirse, ceza alt sınırı dört yıldan az olmamak üzere artırılır.”

Ceza: 4-10 yıl hapis + menfaatin en az 2 katı adli para cezası

Uygulama: E-posta, sahte web sitesi ile yapılan tüm phishing saldırıları.

Bilişim sistemleri kullanılarak işlenen dolandırıcılık suçları hakkında detaylı bilgi için nitelikli dolandırıcılık avukatı sayfamızı inceleyebilirsiniz.

TCK 244: Banka veya Kredi Kartlarının Kötüye Kullanılması

Phishing ile kredi kartı bilgisi çalınıp kullanıldıysa bu madde de uygulanır.

Ceza: 4-8 yıl hapis + bin güne kadar adli para cezası

TCK 135: Kişisel Verilerin Kaydedilmesi

Phishing ile TC kimlik, adres, telefon gibi kişisel veriler çalındıysa:

Ceza: 1-3 yıl hapis

Toplam Ceza: Phishing dolandırıcılığında 5-10 yıl arası hapis cezası verilebilir (suçların içtimaı).

Phishing Dolandırıcılığı Şikayet Süreci

Phishing saldırısına uğradıysanız şikayet süreci şu şekilde işler:

1. Delil Toplama

✅ E-posta Delilleri:

• Phishing mail’in ekran görüntüsü
• E-posta başlık bilgileri (header) – gönderen IP adresi
• Sahte web sitesi URL’si

✅ Finansal Deliller:

• Banka hesap hareketleri
• Çalınan miktar
• İşlem tarihi ve saati

✅ Teknik Deliller:

• Cihaz log kayıtları
• Tarayıcı geçmişi (browser history)
• Antivirüs tarama raporları

2. Şikayet Dilekçesi Hazırlama

Dilekçede bulunması gerekenler:

• Olay Örgüsü: Hangi tarihte, hangi e-posta geldi, ne yaptınız
• Zarar Miktarı: Kaç TL çalındı
• Fail Bilgileri: E-posta adresi, sahte web sitesi URL’si
• Deliller: Ekran görüntüleri, banka dekontu

3. Şikayet Yeri

✅ Cumhuriyet Başsavcılığı (fiziki dilekçe)
✅ E-Devlet Vatandaş Portal (online başvuru)
✅ Siber Suçlar Şube Müdürlüğü (İstanbul Vatan Caddesi, Fatih)

4. Soruşturma Süreci

Savcılık şu işlemleri yapar:

• IP tespiti: E-posta gönderen IP adresi
• Web hosting incelemesi: Sahte web sitesi hangi sunucuda barındırılıyor
• Banka kayıtları: Paranın hangi hesaba gittiği
• Uluslararası işbirliği: Fail yurt dışındaysa Interpol devreye girer

Phishing Dolandırıcılığında Para Geri Alınır mı?

Phishing saldırısında kaybedilen paranın geri alınma şansı şu faktörlere bağlıdır:

Senaryo 1: Para Hâlâ Failin Hesabında

Başarı Şansı: %70-80

Çözüm:

• Mahkeme kararıyla banka hesabı dondurulur
• Haciz konur
• Para iade edilir

Süre: 1-3 ay

Senaryo 2: Para Başka Hesaplara Dağıtılmış

Başarı Şansı: %40-50

Çözüm:

• Her hesap için ayrı inceleme
• Kara para aklama soruşturması
• Kısmi iade mümkün

Süre: 3-6 ay

Senaryo 3: Para Kripto Paraya Çevrilmiş

Başarı Şansı: %30-40

Çözüm:

• Blockchain analizi
• Kripto borsa kayıtları
• Cüzdan takibi

Kripto para dolandırıcılığı ve blockchain analizi için bitcoin dolandırıcılığı rehberimizi inceleyebilirsiniz.

Süre: 4-8 ay

Senaryo 4: Para Yurt Dışına Gönderilmiş

Başarı Şansı: %10-20

Çözüm:

• Uluslararası hukuki yardımlaşma
• Interpol kanalıyla işbirliği

Süre: 12+ ay

Tazminat Davası

Fail tespit edilirse hukuk mahkemesinde tazminat davası açılabilir:

Maddi Tazminat: Çalınan para + faiz
Manevi Tazminat: 10.000-50.000 TL (psikolojik zarar, stres)

DCA Hukuk, phishing davalarında %80+ başarı oranıyla hizmet vermektedir.

Phishing’den Korunma Yöntemleri

Phishing saldırılarından korunmak için şu önlemleri alın:

Kişisel Önlemler

✅ E-posta Kontrolü:

• Gönderen adresini dikkatlice inceleyin
• Şüpheli linklere tıklamayın
• Ekleri açmadan önce antivirüs taratın

✅ Şifre Güvenliği:

• Güçlü şifre kullanın (en az 12 karakter, rakam, sembol)
• Her hesap için farklı şifre
• Şifre yöneticisi (LastPass, 1Password) kullanın

✅ İki Faktörlü Doğrulama (2FA):

• Tüm önemli hesaplarda 2FA aktif edin
• SMS yerine Google Authenticator kullanın

✅ Güncel Yazılım:

• İşletim sistemini güncel tutun
• Tarayıcıyı güncelleyin
• Antivirüs programını güncelleyin

Kurumsal Önlemler

✅ Çalışan Eğitimi:

• Phishing farkındalık eğitimleri
• Simülasyon testleri

✅ E-posta Filtreleme:

• Spam filtreleri aktif
• Şüpheli e-postaları karantinaya al

✅ Güvenlik Duvarı:

• Firewall aktif
• Zararlı sitelere erişim engelleme

Gerçek Phishing Örnekleri (2025-2026)

Örnek 1: Sahte PTT Kargo SMS’i

Mesaj:

PTT KARGO: Paketiniz şubemizde bekliyor.
Teslim almak için: bit.ly/ptt-teslimat
Takip No: 123456789

Gerçek: PTT asla bit.ly gibi kısa link kullanmaz. Resmi takip: ptt.gov.tr

Sonuç: 15.000 kişi tıkladı, 3.200 kişi kart bilgisi girdi, toplam 8 milyon TL zarar.

Örnek 2: Sahte Garanti BBVA Maili

E-posta:

Konu: Hesabınız askıya alındı

Sayın Müşterimiz,

Hesabınızda şüpheli aktivite tespit edildi.
48 saat içinde doğrulama yapmazsanız hesabınız kapatılacaktır.

[HESABIMI DOĞRULA]

Link: garanti-bbva-guvenlik.com (sahte domain)

Sonuç: 8.000 kişi şifre girdi, toplam 12 milyon TL çalındı.

Örnek 3: Sahte Gelir İdaresi Vergi İadesi

E-posta:

T.C. Gelir İdaresi Başkanlığı

2025 yılı vergi iadeniz: 3.450 TL

İade almak için IBAN bilginizi girin.

Gerçek: Vergi iadesi sadece e-Devlet üzerinden yapılır.

Sonuç: 5.000 kişi IBAN girdi, kimlik bilgileri çalındı.

Sık Sorulan Sorular

S: Phishing mail’e tıkladım ama bilgi girmedim, sorun olur mu?
C: Hayır, sadece tıklamak zarar vermez. Ancak cihazınıza virüs bulaşmış olabilir, antivirüs taraması yapın. Bilgi girmediğiniz sürece hesabınız güvende.

S: Phishing mail’e şifre girdim, ne yapmalıyım?
C: Derhal şifrenizi değiştirin (farklı bir cihazdan), bankayı arayın, hesap hareketlerini kontrol edin. İlk 24 saat kritiktir.

S: Phishing dolandırıcısı yakalanabilir mi?
C: Evet. IP tespiti, e-posta header analizi ve banka kayıtları ile fail tespit edilebilir. Ancak fail yurt dışındaysa veya VPN kullanmışsa tespit zorlaşır.

S: Phishing saldırısında banka sorumlu mu?
C: Hayır. Kullanıcı kendi bilgilerini gönüllü olarak vermişse banka sorumlu değildir. Ancak bankanın güvenlik açığı varsa sorumluluk tartışılabilir.

S: Phishing mail’i nasıl bildiririm?
C: E-postayı spam olarak işaretleyin, phishing@gmail.com (Gmail kullanıyorsanız) adresine iletin. Ayrıca Siber Suçlar Şube Müdürlüğü’ne bildirebilirsiniz.

S: Phishing dolandırıcılığında tazminat alabilir miyim?
C: Evet. Fail tespit edilirse maddi zarar + manevi tazminat (10.000-50.000 TL) talep edilebilir. Hukuk mahkemesinde dava açılır.

Sonuç

Phishing mail, sahte kimlik kullanarak kullanıcıları aldatıp şifre, kart bilgisi veya kişisel verilerini çalmayı amaçlayan siber dolandırıcılık yöntemidir. En yaygın türler:

✅ Sahte banka maili
✅ Sahte kargo bildirimi
✅ Sahte vergi dairesi
✅ Sahte sosyal medya uyarısı
✅ Sahte iş teklifi

Phishing Dolandırıcılığı Cezası: TCK 158/1-e uyarınca 4-10 yıl hapis + menfaatin 2 katı adli para cezası

Phishing Mail’e Tıkladıysanız:

1. Bankayı ara, kartı bloke ettir
2. Şifreleri değiştir
3. Antivirüs taraması yap
4. Delil topla
5. Şikayet et
6. Hukuki destek al

Korunma:

• E-posta adresini kontrol et
• Şüpheli linklere tıklama
• İki faktörlü doğrulama kullan
• Güçlü şifre oluştur

Phishing dolandırıcılığında para kaybettiyseniz, profesyonel hukuki destek almanız kritik öneme sahiptir. İlk 24-48 saat delil toplama ve banka bildirimi için hayati önem taşır.

Genel dolandırıcılık suçları ve hukuki haklar hakkında bilgi için dolandırıcılık suçu rehberimizi inceleyebilirsiniz. Dolandırıldıktan sonra atmanız gereken adımlar için dolandırıldım ne yapmalıyım rehberimizi de okuyabilirsiniz.

Üsküdar merkezli ofisimizde, phishing dolandırıcılığı davalarında IP tespiti, e-posta header analizi, blockchain takibi ve tazminat süreçlerinde teknik hukuki destek sunuyoruz.

Phishing dolandırıcılığına uğradıysanız, zaman kaybetmeyin:

📞 0543 674 84 09
✉️ info@dcahukuk.com

İlk danışmanlık ücretsizdir. Durumunuzu bize iletin, hukuki süreci birlikte değerlendirelim.

İletişim

DCA Hukuk & Danışmanlık
📍 Burhaniye Mah. Neşet Bey Sk. No:12 Kat:3 D:5, Üsküdar/İstanbul
📞 0543 674 84 09
✉️ info@dcahukuk.com

Çalışma Saatleri:
Pazartesi-Cuma: 08:00-20:00
Cumartesi: 08:00-17:00

Acil Durumlarda: 7/24 WhatsApp hattımızdan bize ulaşabilirsiniz.