Güvenli İnternet Rehberi (2026) İnternet artık “sadece sosyal medya” değil: bankacılık, e-ticaret, e-devlet işlemleri, iş e-postaları, müşteri verileri, reklam hesapları, hatta WhatsApp’taki tek bir mesaj… Hepsi güvenlik demek.

Üstelik dolandırıcılık yöntemleri “bariz yazım hatalı e-posta” dönemini geçti. Yapay zekâ destekli sahte mesajlar, ses taklitleri, QR kod tuzakları ve birebir aynı görünen web siteleri yüzünden “dikkatli insan” bile düşebiliyor. (Bu risk artışını kurumlar da vurguluyor.)

Türkiye’de de güvenli internet farkındalığı için BTK bünyesinde Güvenli İnternet Merkezi yapısı ve Güvenli İnternet Günü çalışmaları var; 2026 için tarih bile net: 10 Şubat 2026.

Bu rehberde iki hedef var:

1. Bireysel kullanıcı için: Hesabın, paran, kimliğin güvende kalsın.
2. Kurumlar için: Müşteri verisi, e-posta alan adı, reklam hesabı, web sitesi “tek hatayla” yanmasın.

Güvenli internet nedir?

Güvenli İnternet Rehberi (2026), internette gezinirken kimlik bilgilerini, hesaplarını, cihazını, paranı, verilerini ve itibarını koruyacak alışkanlıklar + teknik önlemler bütünüdür.

“Antivirüs kurdum bitti” değildir. Güvenlik; insan + süreç + teknoloji birleşimidir.

Tehlike nerede? (En sık görülen 12 saldırı tipi)

Aşağıdaki başlıklar hem bireyleri hem kurumları vurur:

1) Phishing (Oltalama) – “Linke bir tıkla” tuzağı

E-posta / SMS / DM ile sahte bağlantıya götürür, şifre ve kart bilgisi ister. CISA, şüpheli link/eklere karşı açık uyarı verir: tıklamadan önce kontrol edin, acele ettirmeye çalışan mesajlara şüpheyle yaklaşın.

2) Smishing / Vishing – SMS ve telefonla dolandırıcılık

“Bankanızdan arıyoruz”, “kargonuz yolda” gibi. Özellikle SMS dolandırıcılığı çok yaygın.

3) Quishing – QR kod dolandırıcılığı

QR kodu taratırsın, sahte ödeme/hesap sayfası açılır. ENISA raporları “QR phishing yükselişte” diyor.

4) Hesap ele geçirme (Credential stuffing)

Başka bir siteden sızan şifreyle, aynı şifreyi kullandığın hesabına girerler. “Şifre tekrar kullanımı” burada büyük açık.

5) Sahte site (typo-squat) ve taklit ödeme sayfası

Domain 1 harf farklıdır: …-odeme.com gibi. Görsel %100 aynı olabilir.

6) Kötü amaçlı yazılım

Crack program, sahte eklenti, “PDF görüntüleyici” diye trojan…

7) Ransomware (fidye yazılımı)

Dosyaları kilitler, fidye ister. USOM bildirimleri ve önerileri de bu riskin ciddiyetini sık sık vurgular.

8) Sosyal mühendislik

Teknik değil, psikoloji: “Acil!” “Patron ben” “Hemen ödeme” gibi.

9) SIM swap (hat kopyalama) ve SMS kodu ele geçirme

SMS doğrulaması bu yüzden “en zayıf halka” olabilir.

10) Kamu Wi-Fi riskleri

Ağ dinleme, sahte Wi-Fi ismi, cihazın paylaşım ayarları.

11) Web sitesi açıkları

Özellikle kurumsalda: “yetki kontrolü zayıf”, “giriş paneli korumasız”, “güncellenmeyen eklentiler”.

OWASP Top 10’da Broken Access Control (Yetki Kontrolü Zayıflığı) uzun süredir #1 risk.

12) Veri sızıntısı ve kriz yönetimi

Sızıntı olduğunda asıl hasar; “haber verilmedi, önlem yoktu, log yoktu” gibi süreç eksiklerinden büyür.

6 gerçekçi senaryo: “Nerede tehlike vardı, nasıl korunulurdu?”

Güvenli İnternet Rehberi (2026), Bu bölüm, yazıyı “doyurucu” yapan yer. Aynı zamanda okuyucuya “benim başıma gelir” hissi verir.

Senaryo 1: “Kargonuz teslim edilemedi” SMS’i

Ne oldu? SMS’te link var: “adres güncelle”.
Tehlike nerede? Link, kargo firmasının domain’i değil; sahte ödeme sayfası açıyor.
Korunma: Linke tıklamak yerine uygulamadan/ resmi siteden takip; kart bilgisi isteniyorsa %99 tuzak.

Senaryo 2: “Google Ads hesabınız askıya alınacak” e-postası

Ne oldu? Ajans/işletme maili panikle linke tıklıyor, giriş yapıyor.
Tehlike: Sahte login sayfası.
Korunma: 2FA + mümkünse passkey; ayrıca e-posta alan adında SPF/DKIM/DMARC.

Senaryo 3: WhatsApp’ta “PDF teklif” dosyası

Ne oldu? Dosya açılıyor, bilgisayara zararlı yazılım iniyor.
Korunma: Bilinmeyen ekleri açmama; dosya uzantısı/gerçek tür kontrolü; kurumda sandbox/EDR.

Senaryo 4: “Patronum” diye gelen acil ödeme talimatı (BEC)

Ne oldu? Muhasebe, IBAN’a para gönderiyor.
Korunma: Telefonda geri doğrulama + çift onay akışı + e-posta alan adı korumaları (DMARC).

Senaryo 5: Aynı şifreyi 6 yerde kullanmak

Ne oldu? Bir sitede sızıntı -> diğer hesaplara giriş.
Korunma: Şifre yöneticisi + benzersiz şifre + ihlal kontrolü (HIBP).

Senaryo 6: “Yedek var” sanıp fidyede çöküş

Ne oldu? Yedekler aynı diskte/aynı ağda -> ransomware onları da şifreliyor.
Korunma: 3-2-1 yedek kuralı: 3 kopya, 2 ortam, 1 off-site.

2026’da “en kritik gerçek”: Kimlik bilgisi (credential) her şeyin anahtarı

Güvenli İnternet Rehberi (2026), Bugün saldırıların büyük kısmı “sıfır gün hack” değil; çalınmış kimlik bilgisi ile başlıyor.

Verizon DBIR 2025’te “Basic Web Application Attacks” içinde vakaların büyük bölümünün stolen credentials ile ilişkili olduğu özellikle vurgulanıyor.

Bu yüzden rehberin omurgası:

• Şifre + MFA + passkey
• E-posta/alan adı güvenliği
• Yedek + güncelleme + erişim kontrolü

Bireysel kullanıcı için: 10 dakikada güvenliği ciddi artıran adımlar

1) Şifre stratejisini “güçlü” değil “benzersiz” yap

• Aynı şifreyi iki yerde kullanma.
• Şifre yöneticisi kullan.
• Uzun şifre/passphrase seç.

NIST güncel dijital kimlik kılavuzlarında (800-63 serisi) parola uzunluğunu öne çıkarır; 800-63 sürümü de 2025 itibarıyla güncellendi.

2) 2FA aç (ama mümkünse SMS değil)

Microsoft’un saha verileri, MFA’nın hesap ele geçirmeye karşı çok büyük fark yarattığını defalarca vurguluyor.

Tercih sırası (genel kural):

1. Passkey
2. Authenticator uygulaması (TOTP)
3. Donanım anahtarı (FIDO2)
4. SMS (mecbur kalırsan)

3) Passkey nedir, neden “phishing’e dirençli”?

Passkey, şifre yerine cihazındaki kriptografik anahtar çiftiyle giriş yapmanı sağlar. En kritik avantaj: Yanlış siteye “giriş yaptırmaz”; çünkü sistem, gerçek domain’i doğrular.

4) E-posta/SMS geldiğinde 7 saniyelik kontrol

CISA’nın önerdiği pratik yaklaşım:

• Linke tıklama refleksini kır
• Göndereni ve bağlantıyı kontrol et
• Şüpheli ekleri açma 

5) Tarayıcı ve telefon güncellemesi “güvenlik yatırımıdır”

Güncellemeler çoğu zaman “bilinen açıkları” kapatır. “Sonra yaparım” en pahalı ertelemedir.

6) Bankacılık/ödeme için iki basit kalkan

• Sanal kart/limitli kart
• Bildirimleri aç (harcama bildirimi = erken alarm)

7) Veri sızıntısı kontrolü

E-posta adresini ihlal veritabanlarında kontrol edebilirsin (HIBP).
“Benim mail sızmış mı?” sorusu, şifre değişim zamanını belirler.

Kurumlar için: “Küçük işletme bile olsan” zorunlu 12 temel kontrol

Güvenli İnternet Rehberi (2026) Aşağıdaki liste, büyük şirket dili değil; KOBİ/ajans/e-ticaret gerçekliğiyle yazıldı.

1) Varlık envanteri: “Ne var ki koruyalım?”

• Domainler
• E-posta hesapları
• Web sitesi/panel
• Reklam hesapları
• Çalışan cihazları
• Bulut sürücüleri

2) MFA’yı mecburi yap (özellikle e-posta + reklam + panel)

MFA yoksa, saldırganın işi “şifre bulmak” kadar kolay.

3) E-posta alan adını koru: SPF + DKIM + DMARC

DMARC kurulumunda önce SPF/DKIM’in doğru olması gerektiğini Google Workspace dokümantasyonu net söyler.
Bu üçlü; “bizden mail atmış gibi” görünen dolandırıcılıkları ciddi azaltır.

4) Yetkiyi azalt: Herkese her şey yok

• Muhasebe sadece muhasebe
• Reklam hesabı erişimi “gereken kadar”
• Admin hesapları az ve kontrollü

5) Güncelleme disiplini (özellikle CMS/eklenti)

Web uygulamalarında en pahalı açıklar genelde “güncellenmemiş bileşenler”den çıkar.

6) OWASP Top 10’a göre minimum web güvenliği

OWASP Top 10 (2025) web uygulamalarında en kritik riskleri “farkındalık standardı” olarak sunar; #1 risk yine Yetki Kontrolü.

7) Yedek: 3-2-1 kuralını uygula

CISA’nın 3-2-1 yaklaşımı net: 3 kopya, 2 ortam, 1 off-site.
Ve en önemlisi: yedek geri dönüş testi yapılmalı.

8) Log ve alarm: “Geç fark etmek” hasarı büyütür

• Şüpheli giriş uyarıları
• Yeni cihazdan giriş
• 2FA devre dışı bırakma girişimleri

9) Personel eğitimi: yılda 1 kez değil, ayda 10 dakika

Sosyal mühendislik “insan”ı hedef alır. 10 dakikalık mini eğitim bile ROI verir.

10) Olay müdahale planı: “Bir şey olursa ne yapacağız?”

Kısa plan:

• Hesapları dondur / erişimleri kes
• Şifreleri sıfırla
• Oturumları kapat
• Yedeklerden dön
• Müşteri iletişimi taslağı

11) KVKK: Veri ihlali bildirim sürelerini bil

KVKK’da, veri sorumlularının ihlali öğrendikten sonra gecikmeksizin ve en geç 72 saat içinde Kurul’a bildirim yükümlülüğü bulunduğu Kurum duyurularında açıkça geçer.

12) USOM ve resmî uyarıları takip et

USOM, oltalama ve zararlı adresler gibi konularda ulusal ölçekte çalışır ve bildirimler yayınlar.

“7 Günde Güvenlik” planı (KOBİ / ajans / e-ticaret için uygulanabilir)

Gün 1: Tüm kritik hesaplarda MFA + kurtarma kodları
Gün 2: Şifre yöneticisine geçiş + eski şifreleri benzersiz yap
Gün 3: E-posta domain: SPF/DKIM/DMARC yol haritası
Gün 4: Yedekleme: 3-2-1 + geri yükleme testi
Gün 5: Erişim yetkileri: kim admin, kim değil?
Gün 6: Web/panel güncellemeleri + temel güvenlik ayarları
Gün 7: Olay müdahale dokümanı + mini phishing eğitimi

Güvenli İnternet Rehberi (2026), En sık yapılan 10 hata (ve kısa karşılığı)

1. “Ben küçük işletmeyim, bana saldırmazlar” → otomasyonla saldırırlar
2. Aynı şifreyi her yerde kullanmak → zincirleme çöküş
3. MFA’yı “sonra açarım” demek → en kritik gecikme 
4. Yedek var sanmak ama test etmemek → felaket
5. Domain koruması yok (DMARC yok) → taklit mail kolay 
6. Admin hesabını günlük işte kullanmak → risk büyür
7. Crack yazılım/şüpheli eklenti → davetiye
8. Eski cihazları güncellememek → bilinen açıklar
9. Personeli suçlamak → sistem kurmak daha önemli
10. Krizde iletişim planı olmamak → itibar kaybı büyür

Güvenli internet “bir ürün” değil, alışkanlık + sistem

Bireyselde hedef: hesaplarını ele geçirtmemek.
Kurumsalda hedef: tek hatayla zincirleme kayıp yaşamamak.

En güçlü üç hamle:

1. MFA / Passkey 
2. E-posta alan adı koruması (SPF/DKIM/DMARC) 
3. 3-2-1 yedek + test 

Sıkça Sorulan Sorular

1) Phishing (oltalama) mesajı geldiğini nasıl anlarım?

Acele ettiren, korkutan (“hesabın kapanacak”), linke tıklatmaya çalışan ve kişisel bilgi isteyen mesajlar yüksek risklidir.

2) En güvenli 2FA yöntemi hangisi?

Genelde passkey en güçlü ve phishing’e en dirençli yöntemlerdendir; ardından authenticator gelir.

3) Passkey nedir, şifreyi tamamen kaldırır mı?

Passkey şifre yerine geçebilen “kriptografik anahtar” tabanlı giriş yöntemidir; destekleyen servislerde şifre ihtiyacını azaltır.

4) Veri sızıntısı olduysa ilk 3 adım ne olmalı?

Şifreleri değiştir, tüm oturumları kapat, MFA’yı aç; kurum tarafında erişimleri kıs ve yedek/iz kayıtlarını kontrol et.

5) DMARC nedir, neden şirketler için kritik?

DMARC, alan adınızdan “sanki siz göndermişsiniz gibi” sahte mail atılmasını azaltır; SPF/DKIM ile birlikte çalışır.

6) KVKK’da veri ihlali bildirimi kaç saat içinde yapılmalı?

KVKK Kurum duyurularında “en geç 72 saat” vurgusu yer alır.

7) 3-2-1 yedekleme kuralı nedir?

3 kopya, 2 farklı ortam, 1 off-site yedek yaklaşımıdır; fidye yazılımında hayat kurtarır.

Güvenli İnternet Rehberi (2026): Tehlike Nerede, Nasıl Korunulur?

Kısa cevap: Güvenli internet, “antivirüs kurdum tamam” değil; hesap güvenliği + dikkat + güncelleme + yedek + yetki kontrolü birleşimidir. Bugün saldırıların büyük kısmı ileri seviye hack’ten değil, oltalama (phishing), çalınmış şifreler ve küçük ihmallerden başlar.

Bu rehber kimler için?

• Bireysel kullanıcı: Hesabım çalınmasın, param gitmesin, kimlik bilgilerim sızmasın.
• İşletme / kurum: E-posta, web sitesi, yönetim paneli, reklam hesapları, müşteri verileri tek hatayla yanmasın.

Güvenli internet nedir?

Güvenli internet; internette dolaşırken kimliğini, hesaplarını, paranı, cihazını ve itibarını koruyacak alışkanlıklar + teknik önlemler bütünüdür. Bir kilit gibi düşün: tek bir kilit yetmez; kapı, pencere, alarm ve anahtar yönetimi birlikte çalışır.

Tehlike nerede? (En sık görülen 12 risk)

Aşağıdaki riskler hem bireylerde hem işletmelerde en sık karşılaşılanlardır. Okurken “bana olmaz” deme: çoğu olay otomasyonla, yani rastgele değil sistemli şekilde yapılır.

1) Phishing (oltalama): “Linke tıkla, hemen giriş yap” tuzağı

Banka/kargo/Google/Instagram/teknik servis gibi davranıp seni sahte sayfaya yönlendirir. Amaç şifre, kart bilgisi ya da doğrulama kodu (OTP) almaktır.

• Kırmızı bayrak: Acele ettirme (“hesabın kapanacak”), korkutma, ödül vaadi, “şimdi doğrula” dili.
• Doğru hareket: Linke tıklamak yerine kurumun resmi uygulamasından veya tarayıcıya adresi kendin yazarak gir.

2) Smishing / Vishing: SMS ve telefonla dolandırıcılık

SMS gelir: “Kargonuz teslim edilemedi, adres güncelle.” Telefon gelir: “Bankanızdan arıyoruz.” Hedef: seni hızlı karar verdirmek ve bilgi almak.

3) Quishing: QR kod dolandırıcılığı

QR kod taratırsın; sahte giriş/ödeme sayfası açılır. QR’ı kontrol etmek zordur çünkü linki taramadan önce net göremezsin.

• Örnek: Kafede masaya yapıştırılan QR’ın üzerine sahte etiket yapıştırılmış olabilir.
• Korunma: Rastgele QR tarama; taradıktan sonra açılan sayfa şifre/ödeme istiyorsa iki kere düşün.

4) Çalınmış şifrelerle deneme (credential stuffing)

Bir siteden sızan e-posta/şifre kombinasyonları otomatik denenir. Aynı şifreyi 3 yerde kullandıysan “zincirleme” gider.

5) Sahte site (domain taklidi)

Alan adı 1 harf farklıdır: orijinalsite.com yerine orjinal-site.com gibi. Görüntü birebir aynı olabilir.

6) Zararlı yazılım (malware) ve “dosya gibi görünen tuzaklar”

Crack program, sahte eklenti, “teklif.pdf.exe” gibi uzantı oyunları… Cihazına sızınca şifreleri çalabilir, dosyaları kilitleyebilir.

7) Fidye yazılımı (ransomware)

Dosyaları şifreler, fidye ister. En kritik savunma: doğru yedek + geri yükleme testi.

8) Sosyal mühendislik: “Teknik değil, psikoloji”

İnsan davranışını hedefler: “Patronum ben”, “Acil ödeme”, “Şimdi yapmazsan ceza”.

9) SMS doğrulama zayıflıkları (SIM swap / hat kopyalama)

SMS ile gelen kodlar bazı senaryolarda ele geçirilebilir. Bu yüzden mümkünse Authenticator veya passkey daha güvenlidir.

10) Kamu Wi-Fi riskleri

Asıl risk Wi-Fi’den çok sahte ağ ve yanlış site kombinasyonudur. Bankacılık/ödeme işini mümkünse mobil veride yap.

11) Web sitesi / panel açıkları

Güncellenmeyen eklentiler, zayıf şifreler, herkesin admin olması, yetki kontrolü hataları… İşletmelerde çok sık görülür.

12) Veri sızıntısı ve kriz yönetimi

İhlal olduğunda hasarı büyüten şey genellikle “ihlal oldu” değil; geç fark etmek, log yokluğu, plan olmamasıdır.

---

“7 saniyelik kontrol” kuralı (birey + kurum için altın kural)

Bir mesaj, e-posta veya arama seni acele ettiriyorsa şu 3 soruyu 7 saniyede sor:

1. Bu mesaj benden ne istiyor? (şifre mi, kod mu, ödeme mi?)
2. Acele ettiriyor mu? (hemen, şimdi, 10 dk içinde)
3. Kaynağı doğrulayabiliyor muyum? (resmi uygulama / resmi site / geri arama)

Bu 7 saniye, yılların zararını engelleyebilir.

Passkey nedir? (2026’da phishing’e karşı en güçlü hamlelerden biri)

Passkey, şifre yerine cihazındaki güvenli anahtar ve ekran kilidi/biometri ile giriş yaptıran yöntemdir. En büyük artısı şudur: yanlış siteye “giriş” yaptırma ihtimali çok düşer. Çünkü sistem domain’e bağlı çalışır.

• Ne zaman kullanmalı? Google, Apple, Microsoft, Meta gibi destekleyen yerlerde mümkünse passkey’i aç.
• Yedek: Cihaz değişiminde kurtarma seçeneklerini (yedek/ana cihaz) önceden ayarla.

---

6 gerçekçi senaryo: Tehlike nerede, doğru hareket ne?

Senaryo 1 — “Kargonuz teslim edilemedi” SMS’i

Tehlike: Link sahte ödeme/adres güncelleme sayfasına götürür.
Doğru hareket: Linke tıklama; kargo uygulamasından takip et ya da resmi siteye adresi kendin yazarak gir.

Senaryo 2 — “Hesabınız askıya alınacak” e-postası

Tehlike: Sahte giriş sayfası (Google/Instagram/Ads) şifreni alır.
Doğru hareket: Hesaba tarayıcıdan değil, uygulamadan/yer iminden gir. 2FA/passkey yoksa hemen aç.

Senaryo 3 — WhatsApp’ta “teklif dosyası”

Tehlike: Zararlı dosya/bağlantı cihazına sızabilir.
Doğru hareket: Beklemediğin ekleri açma; göndereni arayıp teyit et.

Senaryo 4 — “Patronum ben, acil ödeme” (BEC)

Tehlike: Muhasebe/finans hedeflenir, yanlış IBAN’a ödeme çıkar.
Doğru hareket: Telefonla geri doğrulama + iki kişi onayı olmadan ödeme çıkma.

Senaryo 5 — Aynı şifreyi her yerde kullanmak

Tehlike: Bir sızıntı, tüm hesaplara kapı açar.
Doğru hareket: Şifre yöneticisi + her hesap için benzersiz şifre + kritik hesaplarda 2FA.

Senaryo 6 — “Yedek var” sanıp fidyede çöküş

Tehlike: Yedek aynı diskte/aynı ağda ve o da şifrelenir.
Doğru hareket: 3-2-1 yedek + düzenli geri yükleme testi.

---

Bireysel kullanıcı için: 10 dakikada güvenliği ciddi artıran adımlar

1. Her hesap için benzersiz şifre (tek şifreyle yaşam biter).
2. Şifre yöneticisi kullan (hafızayla yönetmek 2026’da risk).
3. 2FA aç: mümkünse passkey / authenticator.
4. Kurtarma kodlarını güvenli yerde sakla.
5. Güncellemeleri erteleme (telefon, bilgisayar, tarayıcı).
6. Uygulama/eklenti minimal olsun; gereksizi kaldır.
7. İzinleri düzenle (konum, mikrofon, rehber).
8. Sanal kart ve limitli kart kullan.
9. Giriş bildirimlerini aç (yeni cihazdan giriş uyarısı).
10. Şüpheli mesajda linke basma, kaynağı doğrula.

Kurumlar için: “KOBİ bile olsan” zorunlu 12 kontrol

1. Varlık envanteri: Domain, e-posta, panel, reklam hesapları, cihazlar.
2. MFA zorunlu: E-posta + reklam + panel (en kritik üçlü).
3. Yetkiyi azalt: Herkese admin verme (least privilege).
4. Şifre politikası: Benzersiz, uzun; paylaşılan hesap yok.
5. E-posta alan adı koruması: SPF + DKIM + DMARC.
6. Güncelleme disiplini: CMS/eklenti/tema/sunucu.
7. Yedek: 3-2-1 + geri yükleme testi (yazılı prosedür).
8. Log ve uyarı: Şüpheli giriş, yeni cihaz, 2FA değişikliği.
9. Personel mini eğitim: Ayda 10 dk phishing farkındalığı.
10. Olay müdahale planı: Hesap ele geçerse ilk 1 saat ne yapılır?
11. Üçüncü taraf erişimleri: Ajans/çözüm ortağı erişimlerini sınırla.
12. KVKK hazırlığı: İhlal olursa bildirim ve iletişim planı hazır olsun.

---

7 Günde Güvenlik Planı (Uygulanabilir)

• Gün 1: Kritik hesaplarda 2FA/Passkey aç + kurtarma kodları.
• Gün 2: Şifre yöneticisine geç + benzersiz şifreler.
• Gün 3: Kurum e-posta alan adında SPF/DKIM/DMARC yol haritası.
• Gün 4: 3-2-1 yedek + geri yükleme testi.
• Gün 5: Yetkileri azalt: kim admin, kim değil netleştir.
• Gün 6: Güncellemeleri tamamla + gereksiz eklenti/uygulamaları kaldır.
• Gün 7: Kriz planı yaz + ekibe 10 dk phishing eğitimi.

En sık yapılan 10 hata (ve düzeltmesi)

• “Bana olmaz” → Otomasyonla olur; hedef “kolay av”dır.
• Aynı şifre → Zincirleme hesap kaybı.
• MFA yok → En kritik açık.
• Yedek test edilmemiş → Yedek var sanmak.
• Herkes admin → Tek hata, tam erişim.
• Güncelleme erteleniyor → Bilinen açıklar davetiye.
• Şüpheli ek açılıyor → Malware kapısı.
• Telefonla doğrulama yok → “Acil ödeme” tuzağı.
• Log/uyarı yok → Geç fark edip hasarı büyütmek.
• Plan yok → Krizde panik ve itibar kaybı.

---

SSS

Phishing (oltalama) mesajı geldiğini nasıl anlarım?

Acele ettiren, korkutan, “hemen giriş yap” diyen ve linke tıklatıp bilgi/ödeme isteyen mesajlar yüksek risklidir. Linke tıklamak yerine resmi uygulamadan veya tarayıcıya adresi kendin yazarak kontrol et.

En güvenli 2FA yöntemi hangisi?

Genelde en güçlü seçenek passkey ve donanım anahtarıdır. Ardından Authenticator (TOTP) gelir. SMS doğrulama bazı senaryolarda daha zayıf kalabilir.

Passkey nedir, şifrenin yerini alır mı?

Passkey, şifre yerine cihazındaki güvenli anahtar ile giriş yaptıran yöntemdir. Destekleyen servislerde şifre ihtiyacını azaltır ve phishing riskini düşürür.

Veri sızıntısı yaşadıysam ilk ne yapmalıyım?

Önce ilgili hesapların şifrelerini değiştirip tüm oturumları kapat. Ardından 2FA’yı aç/güçlendir. Aynı şifreyi kullandığın diğer hesapları da değiştir.

DMARC nedir, kurumlar için neden önemlidir?

DMARC, SPF ve DKIM ile birlikte çalışarak alan adınızdan sahte e-posta gönderilmesini azaltır. Böylece “sizden gelmiş gibi” görünen dolandırıcılık e-postalarına karşı koruma sağlar.

3-2-1 yedekleme kuralı nedir?

3 kopya, 2 farklı ortam, 1 off-site yedek yaklaşımıdır. Fidye yazılımına karşı yedeklerin geri yükleme testi yapılmalıdır.

Kamu Wi-Fi kullanırken nasıl daha güvenli olurum?

Ödeme/banka işlemlerini mümkünse kamu Wi-Fi’de yapma. Yapacaksan doğru domain ve HTTPS kontrolü yap, cihaz paylaşımını kapat, hesabında 2FA aktif olsun.

Sonuç

Güvenli internet bir “uygulama” değil; alışkanlık + sistem işidir. En hızlı faydayı üç hamle verir: (1) MFA/Passkey, (2) benzersiz şifre düzeni, (3) doğru yedek + test. Bunları oturttuğunda hem bireysel hem kurumsal riskleri dramatik şekilde azaltırsın.