Siber saldırıların evrimi: DDoS’tan sosyal mühendisliğe

2026’daki en ilgi çekici deneyimlerimden biri kredi kartı bilgilerimin ele geçirilmesi ile yurtdışından benim kredi kartımla sipariş verilmeye çalışılması oldu.

Bunu ilgi çekici bir biçimde öğrendim.

Bir sabit hat numarasından akşam vakti cep telefonum arandı.

İlk seferinde dolandırıcıdır diye açmadım.

İkincisinde açtığımda bir sesli yanıt sistemi (IVR) konuyu bana anlatmaya çalışırken dolandırıcılık diye hemen kapattım; alışık olmadığım bu deneyim bende endişe yaratmıştı.

Sonrasında telefonuma gelen kısa mesajda kredi kartımın geçici olarak işleme kapatıldığı ve Garanti BBVA’nın çağrı merkezini arayarak yeniden açtırabileceğim belirtiliyordu.

Çağrı merkezini çekinerek aradım çünkü bugünün teknolojisini kullanarak yapılabilecekleri biliyordum.

Belirli bir numarayı göstererek arama yapmak, bunların en basitlerinden biriydi.

Çağrı merkezinden bu numaranın bankanın siber tehditlerle mücadele eden birimine ait olduğunu öğrenince içim rahatladı.

Kredi kartı bilgilerimin ele geçirilmiş olabileceğini belirten çağrı merkezi çalışanı, kredi kartımı iptal edip yenisini bastırmayı önerdi ve bu işlemin 10 iş günü civarında süreceğini bildirdi.

Ben de kabul ettim.

Telefonu kapattıktan sonra uygulamadan kontrol edip kartın kapatıldığından emin oldum.

Yeni kartıma kavuşmam 10 gün sürmedi.

Ama sıkıntı sona ermemişti.

Kredi kartı ile ödemesini yaptığım bütün aboneliklerime yeni kart bilgilerimi vermem gerekiyordu.

Bu arada çoğu servisin kontrol paneline uzun süredir girmediğim için ayarlarla ilgili bölüme girmek için gereken kullanıcı adı ve parolalarımı unuttuğumu fark ettim.

Her şeyi yerine koyduğumda kredi kartımın nerede kopyalanmış olabileceği ile ilgili ilk endişelerimi unutmuştum; o kadar fazla iş çıkmıştı.

Geçmişte siber saldırıların şirketlere verdiği zararı kaybedilen paranın ama daha önemli olarak reputasyonun maliyeti olarak ortaya koyardık.

Reputasyon kaybı, ağırlıkla servis engelleme şeklinde gerçekleşen saldırıların hizmeti kesintiye uğratması nedeniyle şirkete güvenin azalması ve bu negatif deneyim nedeniyle sistemi kullanmaktan vazgeçenlerin yarattığı churn maliyetini de kapsıyordu.

Bu deneyim günümüzde başta anlattığım örnekte olduğu gibi bireylerin de işleri yoluna koymak için benzer süreçlerden geçmesini gerektiriyor.

Ancak geçmişten gelen bu tür tehditlerin yarattığı sorunlar bir yana, şu anda en ciddi ve yükselen tehdit olarak sosyal mühendisliği görüyorum.

Bir arkadaşımın geçen aylarda telefonu çaldığında yan yana olduğumuz için arayan numara dikkatimi çekti.

Daha sonra internette araştırdığımda Rusya’daki Astrahan Oblastı’nın telefon numarası kodu olduğunu öğrendiğim +851 ile başlayan numaranın sonrası da bir bankanın çağrı merkezi numarasını çağrıştırıyordu.

Arada sadece bir numara farklıydı.

Telefonunu açmadan önce hoparlörünü açmasını istedim.

Karşıdan arayan kişi çağrı merkezi prosedürlerinde olduğu gibi kimlik tespit bilgisi istemeden 900 küsur bin liralık bir EFT’nin onayı için o bankadan aradığını söyledi.

Arkadaşıma soru sorup biraz sıkıştırmasını isteyince, arkadaşım numaranın farklı olduğunu söyledi.

Karşıdaki ses de Bankacılık Düzenleme ve Denetleme Kurumu’ndan (BDDK) aradığı yalanına geçti ve EFT’nin Karacabey’deki bir kişiye yapılmak üzere tanımlandığını isim vererek söyledi.

O sırada ben devreye girip şüpheli bir davranış içinde olduğunu söyleyip sıkıştırmaya başlayınca telefon kapandı.

Sosyal mühendisliğin yükselişi İnsanın içinde olduğu bu ikinci dolandırıcılık girişimindeki sosyal mühendislik gerçekten gözleri yaşartacak ustalıktaydı.

Ancak bunu çok yaygın olarak görüyoruz.

Bilgilerinizi ele geçirdiği için abonesi olduğunuz bir internet servis sağlayıcısından aradığına inandığınız bir kişi, faturanızın yükseldiğini ve size özel bir paket oluşturduklarını söyleyerek ilginizi çekebiliyor.

Merak edip paketi sorduğunuzda, sizin kullandığınız fiber yerine başka iki şirketin sınırlı hızdaki paketlerini daha düşük fiyatla size sunduğunda işe uyanıyorsunuz.

O noktaya kadar her şey iyi kurgulanmış oluyor.

Üstelik bu sizin servis aldığınız şirketin e-posta ile size taahhütte bulunmanız durumunda daha uygun paket sunacağını duyurduğu döneme denk geliyor.

Bu örnekler, siber saldırıların veriye erişip saldırı için sosyal mühendislik yapılması ile kurgulandığını ortaya koyuyor.

Yıllar önce internet bankacılığı gelişirken kullanıcı numarası ve şifreyi çalmaya yönelik oltalama (phishing) saldırıları olurdu.

Bunlar bankadan gelmiş süsü verilmiş e-postalarla logo ve taklit format kullanılarak yapılırdı.

Bir gün laz fıkrası gibi bir olayda e-postayı Merkez Bankası’ndan gönderdiğini yazan birileri Türkiye’de akla gelecek bütün bankaların adını yazarak “Merkez Bankası sistemimizi güncelliyoruz.

Bankadaki müşteri numaranızı ve şifrenizi yazın” diye bir e-posta atmışlardı.

Bugünden bakınca çok masum görünüyor.

Bugün çok daha fazla veri ve ileri teknoloji ile donanmış saldırganların yarattığı tehditler söz konusu. 2025’te gerçekleşen saldırılara baktığımızda tehditlerin çeşitlendiği bir tablo ile karşılaşıyoruz.

Kullanıcıları sahte hata mesajlarıyla kandırarak kendi cihazlarında zararlı komutlar çalıştırmalarını sağlayan ClickFix saldırıları sosyal mühendisliğin geldiği noktayı gösteren çarpıcı bir örnek oldu.

Klasik oltalama yöntemlerinin yerini alan ve Windows, macOS , Linux sistemlerini fark gözetmeden vuran ClickFix’e, özellikle Microsoft hesaplarını hedef alan ConsentFix ve dosya sistemini suiistimal eden FileFix varyantları eşlik etti.

Bu saldırıların yaygınlaşmasında sosyal medya da bir araç ya da medya olarak kullanıldı.

Geleneksel tehdit olarak nitelediğim internet trafiğini durdurma kapasitesine sahip DDoS saldırılarında 2025, rekorların kırıldığı yıl oldu.

Aisuru botnet, 29,7 Tbps’lik inanılmaz boyutta saldırı ile finans ve bulut hizmetlerine erişimi saatlerce engelledi.

Bu saldırılar, küresel internet altyapısının hala ne kadar hassas olduğunu ve siber suçluların “hizmet olarak saldırı” (DDoS-for-hire) modellerini ne kadar profesyonelleştirdiğini gösterdi.

Saldırganların yenilikçilik ve yaratıcılıkları, bu tür yeni modellerle kendini gösterirken yapay zekâdaki gelişmeler bunun için çok daha geniş bir alan yaratacak.

Yapay zekâ benzer şekilde savunma tarafında da etkin kullanılan bir araç olarak karşımıza çıkıyor ve bu yönelim güçlenerek sürecek.

Yapay zekânın her iki tarafta da etkin kullanımı, devlet destekli casusluk faaliyetlerinin artışı ve finansal sistemlere yönelik devasa saldırılar kadar kurumların ve siber güvenlik şirketlerinin savunma stratejilerinde de köklü bir değişiklik yaratıyor.

Yapay zekâ ve bulut bilişimin tanımladığı bu yeni dünyada, ses ve yüz izi ile onaylama gibi gelişmiş güvenlik araçlarının bile manipüle edilmesi çocuk oyuncağı.

Dolayısıyla “bu dünyada uyanık olmanız gerekiyor” ya da “internet cafe’deki herkese açık interneti kullanmayın” gibi tavsiyelerin bir anlamı kalmamış durumda.

Yapay zekâyı iyi kullanan ve doğru algoritma üreten akıllı şirketlerin güvenlik şemsiyesinin altına girmekten fazla bir şansınız yok.

Eskiden olduğu gibi, sistemlerine sızıldığını altı ay sonra fark eden şirketlerin, bir anda aldıklarını sandıkları darbeden kurtulmaları mümkün değil.

Bu bireyler için de geçerli bir duruma dönüşüyor.

Sığınakların dışında korunmak zor Bilişimin gelişmesi ile ölçeklenen işler, siber saldırganlara cazip gelen hacmi yaratırken bulut bilişim ve akıllı üretim sistemlerinden bireysel cihazlara ve uç bilişim sistemlerine kadar her şey saldırı yüzeyini genişletiyor.

Lazarus grubunun, 2025’te ByBit platformundan tam 1,5 milyar dolar değerinde Ethereum çalması gibi örnekler, getiri tarafında ulaşılan boyutu gösterirken finansal bir kayıp olmanın yanında Blockchain gibi insanlığı kurtaracağı düşünülen kayıt sistemlerinin güvenliğinin de sorgulanmasına neden oldu.

Soğuk aldığınızı düşündüğünüzde nane limon kaynatır gibi sizden bilgilerinizi isteyen şüpheli bir mesaj aldığınızda ilk seferinde şifrenizi yanlış girerek kendi önleminizi alabilirsiniz.

Sahtecilik yapan bir sistem yanlış bilgiyi kabul edecektir ama daha fazlası için uzman desteği şart görünüyor.

Bu “sağlık hizmeti”ne paralel olarak sigorta yaptırmak da yükselen bir trend.

Son katıldığım Neova Sigorta toplantısında, firmanın “potansiyel tehditlere karşı proaktif yol göstericiliğiyle daha güvenli bir dijital deneyim sunan” ifadesiyle tanımladığı Neosiber Güvenlik Sigortası’nda 2025’te 248,2 milyon lira prim üretiliyor.

Bu ürünün Neova’nın merkezi Londra’da bulunan sigorta ve reasürans yapısı Lloyd’s of London’a yatırımcı olarak kabul edilmesinin ardından Londra ile birlikte geliştirilmesi, global olarak da bu sigorta alanının benimsendiği ve büyüdüğünü gösteriyor.

Bu tür unsurlarla koruma sağlamadığınızda siber saldırganlar için kolay bir av olmanız kaçınılmaz.