Mesajlaşma Güvenliği← İçindekiler

Mesajlaşma Güvenliği

Vatandaş

Kahvaltı masasında çayını yudumlarken telefonuna bir mesaj düşüyor. “PTT Kargo: Paketin teslim edilemedi.” Sen bir kargo beklemiyordun ama belki eşin sipariş etmiştir, belki çocuğun… İmleç linkin üzerinde. Tıklamakla tıklamamak arasında bir saniye var. O saniye, her şeyi değiştirir. O mesaj bir tuzak olabilir. Adına açılmış sahte bir siteye yönlendirilir, kart bilgilerini girersin ve paranı kaybedersin. Ya da daha kötüsü: telefonun ele geçirilir.

Bu kadar mı kolay? Evet. Her gün binlerce kişi bu bir saniyelik tereddütü atlayıp tıklıyor. Çünkü mesaj tanıdık bir markanın adını taşıyor, telaş yaratıyor ve düşünmeye zaman bırakmıyor.

Saldırı zinciri: Mesajlaşma uygulamaları, saldırganların en sevdiği hedeftir. Bir mesajla “Bunu gördün mü?” linki gönderilir. Link tıklanınca sahte bir giriş sayfası açılır. Parolanı girersin. Saldırgan elindeki parolayla gerçek hesabına girer. Artık tüm mesaj geçmişin, rehberin ve medyan saldırganın elindedir. Bu üç adımlık zincir mesajlaşma güvenliğinin en yaygın ihlalidir. Koruması basit: linklere tıklamadan önce kaynağı doğrula, iki aşamalı doğrulama kullan.

Hızlı ipucu: 5 saniyede yap: WhatsApp Ayarları > Gizlilik > “Profil fotoğrafım” ve “Hakkımda” sadece rehberindekilere görünsün.

9.1 WhatsApp Web / Masaüstü

  • Kural: Bilgisayardan WhatsApp açtıysan, kalkarken ekranı kilitle veya WhatsApp’ı tamamen kapat.
  • Yapma: WhatsApp Web’i açık bırakıp maseden kalkma. Arkandan tüm yazışmaların okunur.
  • Kontrol: WhatsApp > Ayarlar > Bağlı Cihazlar. Tanımadığın bir cihaz varsa hemen “Tüm cihazlardan çıkış yap.”

9.2 Grup Davetleri

  • Yap: WhatsApp Ayarları > Gizlilik > Gruplar > “Yalnızca rehberimdekiler” seç.
  • Sonuç: Tanımadığın kişiler seni izinsiz gruplara ekleyemez.
Bunu Yap
  • Grup davetlerini "Yalnızca rehberimdekiler" olarak ayarla
  • Bilinmeyen gruplardan şüpheli linklere tıklamama
  • Güvenmediğin gruplardan çık
Bunu Yapma
  • Herkesin seni gruplara eklemesine izin verme
  • Gruptaki bilinmeyen linklere tıklama
  • Grup davet kuralını "Herkes" olarak bırakma

9.3 “Bana Kod Geldi” Dolandırıcılığı

  • Senaryo: “Telefonuma SMS geldi, kod şu, söyler misin?” veya “Hesabım doğrulanıyor, kodu bana gönder.”
  • Kural: SMS ile gelen hiçbir onay kodunu kimseye söyleme. Tanıdığın biri de dese, arkadaşının hesabı çalınmış olabilir. Kodu veren kendi hesabını teslim eder.

9.4 Bilinmeyen Bağlantılar

  • Kural: WhatsApp, SMS veya e-posta ile gelen “Şok haber”, “Seni böyle görüntülediler”, “Hakkında çıkan haber” gibi linklere tıklama.
  • Sonuç: Bu linkler hesabını çalmak veya telefonuna casus yazılım bulaştırmak için kurulmuş tuzaktır.

9.5 Sosyal Mühendislik ve Telefonla Dolandırıcılık

Bu bölümdeki saldırı türlerinin detaylı analizi ve korunma yöntemleri için Sosyal Mühendislik sayfasına bak.

  • Senaryo 1: Arayan kişi kendini “Bankadan arıyorum”, “E-Devlet’ten arıyorum”, “Savcılıktan arıyorum” veya “Polisten arıyorum” diye tanıtır. Parolani, kodunu veya kişisel bilgini ister.
  • Senaryo 2: “Oğlun/kızın hastanede, hemen para gönder” veya “Mahkemen var, ödeme yapmazsan…” şeklinde panik yaratan aramalar.
  • Senaryo 3 (Türkiye’den): “Merhaba ben kuryeyim, paketin için adres onayı gerekiyor, şu linkten onaylayın” veya “PTT’den kargon var, teslimat ücreti ödemen lazım” şeklinde SMS’ler. Kargo veya PTT kılığına girerek link tıklattırıp banka bilgilerini çalarlar.
  • Senaryo 4 (Türkiye’den): “İBB/Ankara Büyükşehir Belediyesi olarak su faturana ilişkin borcun var, ödeme yapmazsan kesinti yapılacak” şeklinde sahte SMS. Kişi panikle linke tıklar, banka parolasını girer.
  • Kural: Hiçbir resmi kurum, banka veya devlet kuruluşu telefon ile parola, PIN, SMS kodu veya kişisel bilgi istemez.
  • Yap: Telefonu kapat. İlgili kurumu kendin resmi numaradan ara ve durumu teyit et.
  • Yapma: Panik halinde telefonu açan kişiye hiçbir bilgi verme. Zaten gerçek bir durum olsa bile resmi kanaldan geri dönerler.

Gerçek olay: Türkiye’de her yıl binlerce insan PTT kargo SMS’i, e-Devlet giriş sayfası klonları ve sosyal yardım başvurusu dolandırıcılığı gibi oltalama saldırılarına maruz kalır. Kötü niyetli kişiler, devlet kurumlarının veya bilinen markaların adını kullanarak sahte SMS’ler ve sahte web siteleri hazırlar. Kişi linke tıklayıp banka kartı veya parola bilgilerini girdiğinde parası çalınır. Resmi kurumlar asla SMS ile ödeme linki veya parola istemez.

Senaryo: PTT Kargo SMS Dolandırıcılığı

Telefonuna bir SMS gelir: “PTT Kargo: Paketin teslim edilemedi, teslimat ücreti ödemen gerekiyor. Ödeme için tıkla: ptt-kargo-odeme.com” Link gerçek bir PTT sayfası gibi görünür ama sahte. Tıkladığında banka kart bilgilerini isterler. PTT veya kargo şirketleri SMS ile ödeme linki göndermez. Şüphelendiğinde kargo takip numarasını resmi siteden kontrol et.

9.6 Yüz Yüze “Omuz Sörfü”

  • Kural: Toplu taşıma, kafe, toplantı, sandık çevresi gibi kalabalık yerlerde telefonunu açarken veya parola girerken etrafına bak.
  • Yap: Ekran gizlilik filmi tak. Yan açıdan ekranı kimse göremez.
  • Yapma: Sıra beklerken, otobüste, toplantıda açık telefonunla parola girme, mesaj okuma. Ekranı doğrudan arkandaki kişi görebilir.

9.7 Pano (Clipboard) Güvenliği

  • Kural: Kopyaladığın parola, kod veya kişisel bilgi telefonun panosunda (clipboard) kalır. Başka bir uygulama bunu okuyabilir.
  • Yap: Parola kopyaladıktan sonra başka bir şey kopyalayarak panoyu temizle. Bazı parola yöneticileri bunu otomatik yapar.
WhatsApp Güvenlik Kontrol Listesi
  • İki aşamalı doğrulama (6 haneli PIN) aktif
  • Grup davet ayarı “Yalnızca rehberimdekiler”
  • Bağlı cihazlar kontrol edildi, tanınmayan yok
  • Kilit ekranında mesaj içeriği gizli
  • WhatsApp Web kullanılmıyorsa kapatıldı
  • Güvenlik bildirimi (uyarı) açık

9.8 Güvenli İletişim Uygulamaları Karşılaştırması

Telefonda mesajlaşırken kullandığın uygulama çok önemli. Bazıları mesajlarını herkesin okuyabileceği şekilde gönderir, bazıları ise kilitli bir zarf gibi sadece sen ve karşındaki açabilir.

Güvenli iletişim uygulamaları karşılaştırması
ÖzellikSignalWhatsAppTelegramSession
Mesajlar parolalı mi?Evet, hepsi otomatikEvet, bireysel ve grupHayır. Sadece “Gizli Sohbet” modundaEvet, hepsi otomatik
Şirket mesajları okuyabilir mi?HayırHayır (ama kiminle ne zaman konuştuğunu bilir)Evet (normal sohbetlerde)Hayır
Telefon numarası gerekli mi?EvetEvetEvetHayır (anonim)
Açık kaynak mı?EvetHayırKısmenEvet
SahibiBağımsız vakıfMeta (Facebook)BAE merkezli şirketMerkezi yok

Hangisini kullanmalısın?

  • Signal (en güvenli): Mesajların otomatik parolalı. Bağımsız bir vakıf tarafından işletilir, bağışlarla ayakta durur. Reklamı yok, veri satmaz, kâr amacı gütmez. Siyasi içerik ve hassas konuşmalar için birinci tercih. Zayıf yönü: hizmet sürekliliği bağışlara bağlı olduğu için bir vakıf olarak kapanabilir.
  • Session (yüksek gizlilik): Telefon numarası gerektirmez. Kim olduğunu bilen yok. Kaynakların kimliği bilmemesi gereken durumlar için.
  • WhatsApp (pratik ama riskli): Herkes kullanıyor diye pratik. Ama Meta şirketine ait : kâr amacı güden bir şirket. Kiminle ne zaman konuştuğunu kaydeder, bu verileri Meta ekosisteminde kullanır. Uzun vadede hizmetin devam edeceği garanti (arkasında büyük bir şirket var) ama gizlilik açısından riskli. Hassas siyasi içerik için uygun değil.
  • Telegram (tavsiye edilmez): Normal sohbetler parolasız. BAE merkezli bir şirkete ait, kâr amacı güder. Varsayılan sohbetler uçtan uca şifreli değil : şirket sunucularındaki mesajları okuyabilir. “Gizli Sohbet” modunu manuel açman gerekir. Hassas siyasi iletişim için kesinlikle uygun değil.

Önemli: Hiçbir uygulama telefonunun ele geçirilmesi durumunda güvenlik sağlayamaz. Cihaz Güvenliği her şeyin temelidir.

Benzetme: Mesajlaşma uygulamaları, içinde konuştuğun odalara benzer. Kimi odanın kapısı açıktır, içeri her giren duyduklarını kaydedebilir. Kimi odanın kapısı kilitlidir, anahtar sadece sende ve karşındakindedir. Kapıyı hangi odaya oturacağına sen karar verirsin.

Nasıl Yapılır: Signal Kurulumu

  1. İndir: Uygulama mağazandan (Google Play veya App Store) Signal’ı indir.
  2. Kaydol: Telefon numaranla kaydol. SMS ile doğrulama kodu gelir.
  3. Profil oluştur: Ad ve fotoğraf ekle (opsiyonel, gizlilik için takma ad kullanabilirsin).
  4. Kaybolan mesajlar aç: Herhangi bir sohbet > Sohbet adına dokun > “Kaybolan mesajlar” > 1 gün (veya daha kısa) seç.
  5. Ekran güvenliği: Ayarlar > Gizlilik > “Ekran güvenliği” aç (ekran görüntüsü alınmasını engeller).
  6. Kilit ekranı bildirimlerini kapat: Ayarlar > Bildirimler > “İçeriği göster” kapalı. Mesajlar kilit ekranında görünmez.
Signal kurulumu adım adım
  1. Uygulama mağazasından Signal’ı indir
  2. Telefon numaranla kaydol, SMS doğrulama kodu gelir
  3. Profil oluştur (takma ad kullanabilirsin)
  4. Her sohbette “Kaybolan mesajlar” > 1 gün (veya daha kısa) seç
  5. Ayarlar > Gizlilik > “Ekran güvenliği” aç
  6. Ayarlar > Bildirimler > “İçeriği göster” kapalı
  7. Sohbet yedeklemesini aktif et, parola korumalı olsun

9.9 Tor Browser, Tails ve ProtonMail

Bazı durumlarda normal mesajlaşma uygulamaları yeterli olmaz. Özellikle kaynak koruması yapan gazeteciler veya yüksek risk altındaki aktivistler için daha ileri düzey araçlar gerekir.

Tor Browser

Tor Browser, internette kimliğini gizleyerek gezmene yarayan bir tarayıcıdır. Normal tarayıcılar (Chrome, Safari) sana hangi sitelere girdiğini kaydeder ve internet servis sağlayıcın da bunu görür. Tor ise internet trafiğini dünyanın farklı yerlerindeki bilgisayarlar üzerinden geçirerek seni gizler.

  • Ne işe yarar: Bir siteyi ziyaret ettiğinde o site senin IP adresini (nereden bağlandığını) görmez. Kim olduğunu ve nerede olduğunu gizler.
  • Nasıl kullanılır: torproject.org adresinden Tor Browser’ı indir. Normal bir tarayıcı gibi kullan. İlk açılışta “Bağlan” butonuna basman yeterli.
  • Önemli: Tor sadece tarayıcı içinde korur. Tor’u açıp Chrome kullanırsan korunmazsın. Tor’dayken dosya indirme, eklenti kurma veya kişisel hesaplarına giriş yapma.
  • .onion adresleri: Tor üzerinden erişilebilen özel sitelerdir. Normal siteler “.com” biter, .onion siteleri ise sadece Tor Browser’da açılır. SecureDrop gibi güvenli sızıntı platformları .onion adresleri kullanır.

Kural: Tor Browser yavaştır - bu normaldir. Hız yerine gizlilik verirsin. Günlük kullanım için değil, özel durumlar içindir.

Tails (Amnesic Incognito Live System)

Tails, bir USB belleğe kurulan ve bilgisayarında hiçbir iz bırakmayan bir işletim sistemidir.

  • Ne işe yarar: Bilgisayarını USB’den Tails ile başlatırsın. Kullandıktan sonra USB’yi çıkarırsın. Bilgisayarda kullandığına dair hiçbir iz kalmaz. Hiçbir şey kaydedilmez.
  • Kimler kullanır: Gazeteciler, aktivistler, yüksek risk altındaki kişiler.
  • İçinde ne var: Tor Browser, şifreli mesajlaşma araçları, ofis programları. Tüm internet trafiği Tor üzerinden gider.
  • Nasıl kurulur: tails.net adresinden indir, bir USB belleğe yaz ve bilgisayarı bu USB’den başlat.

ProtonMail

ProtonMail, uçtan uca şifreli e-posta hizmetidir. Normal e-posta (Gmail, Yahoo, Hotmail) sağlayıcıları e-postalarını okuyabilir. ProtonMail ise mesajlarını şifreler, sadece sen ve alıcı okuyabilirsiniz.

  • Ne işe yarar: E-postalarının içeriğini hizmet sağlayıcı bile göremez. İsviçre merkezlidir, sıkı gizlilik yasalarıyla korunur.
  • Nasıl kullanılır: proton.me adresinden ücretsiz hesap aç. Normal e-posta gibi kullan. İki ProtonMail kullanıcısı arasında mesajlar otomatik şifrelenir.
  • Önemli: ProtonMail ücretsizdir ama sınırlı depolama sunar. Gelişmiş özellikler için ücretli plan gerekir.

Tor, Tails ve ProtonMail gibi araçlar günlük kullanım için değil, özel durumlar içindir. Çoğu kullanıcı için Signal yeterlidir. Bu araçları “ihtiyacın olduğunda kullan” diye bilmek yeterli.

İlgili Bölümler

← İnternet Tarayıcı Güvenliği Eklenti ve Uygulama İzinleri →