Kategoriler
AstrolojiPopüler KonularYaşam RehberiKariyer TavsiyeleriKişisel GelişimZenginler ve FakirlerSite TanıtımlarıKaranlık İnternet GerçekleriNe? Nedir? Nasıl?Kadim Gizli BilgilerMeditasyon ve OlumlamalarSpiritüalizmSpiritüel Rüya TabirleriYurt Dışında EğitimDualarBilgisayar ve GüvenlikYZ ile Para Kazanma Rehberi
Bilgisayar ve Güvenlik

Phishing Sayfası Kodlarken (Denemelik) Olarak Birine Göndermenin Bile Yasak Olduğunu Anlamak

IYIGOOGLE IYIGOOGLE
Yayınlama Tarihi: 18 April 2025 | Güncelleme Tarihi: 8 May 2025

Phishing — yani oltalama — dijital dünyanın en yaygın ve etkili sosyal mühendislik saldırısıdır. Kullanıcının e-posta, banka, sosyal medya gibi servislerinin giriş ekranlarını taklit ederek bilgilerini çalma amacı taşır. Ama bir yazılımcı olarak bu mekanizmayı öğrenmek istersen, bir “phishing sayfası” kodlamak kaçınılmaz olabilir. Sorun şurada başlar: Bu sayfayı sadece "denemek için" bile olsa gerçek bir kişiye göndermek, yasal sınırları aştığın anlamına gelir. Çünkü hukuki sistem niyete değil, eyleme bakar.

Öncelikle: Phishing Nedir ve Ne Yapmazsın?

Phishing sayfası; gerçek bir siteyi (örneğin Facebook, e-Devlet, banka siteleri) taklit eden sahte bir giriş ekranıdır. Teknik olarak:

  • HTML, CSS ile arayüz kopyalanır
  • Form action kısmı kendi sunucuna yönlendirilir
  • Kullanıcının girdiği bilgiler local dosyaya veya mail ile toplanır

Bu noktada, senin bu formu bir “arkadaşına denemelik göndermen”, sistem açısından şu şekilde değerlendirilir:

  • Kullanıcının kimlik bilgilerini toplamak için tuzak kurma
  • Veri toplama amacı olmasa bile “aldatma” girişimi
  • Yasal bir hizmetin marka kimliğini taklit etme

“Sadece Testti” Demek Neden Seni Kurtarmaz?

Türk Ceza Kanunu'na göre bilişim suçlarında “kasten” hareket edilmesi gereklidir. Ama phishing gibi eylemlerde, kurban bilgilerini girsin veya girmesin, şu 3 adım suçun oluşması için yeterlidir:

  1. Sahte arayüz tasarlamak
  2. Bu arayüzü bir kişiye iletmek (bağlantı, e-posta, mesaj vb.)
  3. İçeriğe girilen bilgileri kendi sunucuna yönlendirmek veya saklamak

Yani sadece sayfayı göndermiş olman bile, kullanıcı girmese bile, eylemi "saldırı teşebbüsü" haline getirir. Bu, TCK 244/2’ye girer: “Bilişim sisteminin işleyişine müdahale etme teşebbüsü”.

Deneme Amaçlı Göndermekle Ne Riski Alırsın?

  • Veri gizliliği ihlali: Kullanıcı adı, parola, IP gibi verileri toplarsan KVKK ihlali olur
  • Kurumsal marka taklidi: Banka, devlet kurumu gibi arayüzü taklit ettiysen marka ihlali oluşur
  • Dolandırıcılığa teşebbüs: Bilgileri alsan da kullanmasan da bu maddeye girer
  • Sabıka kaydı: Yargı süreci olmasa bile soruşturma açılırsa GBT kayıtlarında “siber güvenlik ihlali” işlenir

Gerçek Hayattan Vaka: Deneme İçin Kardeşine Gönderen Lise Öğrencisi

2020’de bir öğrenci, HTML ile bir banka giriş sayfasının arayüzünü birebir kopyalayıp localhost’a kurdu. Ardından sayfayı kardeşine "bak çalışıyor mu?" diye WhatsApp’tan gönderdi. Kardeşi formu doldurduğunda yazılım, bilgileri .txt dosyasına kaydetti. Olay, okul ağında tespit edildi. Öğrenciye “kişisel verileri hukuka aykırı şekilde elde etme ve bilişim sistemine müdahale teşebbüsü” ile dava açıldı. Ceza verilmedi ama adli siciline kaydedildi.

Yasal Olarak Ne Yapabilirsin?

Eğer phishing sistemini öğrenmek istiyorsan:

  • tryhackme.com veya hackthebox.com gibi CTF ortamlarında senaryo tabanlı phishing simülasyonlarına katıl
  • SET (Social Engineering Toolkit) kullanıyorsan, sadece lokal IP ile kendini hedef al
  • Hiçbir gerçek kişiye, hiç bir kanal üzerinden bağlantı yollama
  • Gerçek kurumsal logoları, URL’leri veya SSL benzetmelerini yapma

Ve Bilinmesi Gereken Derin Gerçek

Phishing sadece teknik bir mesele değildir; güvenin sınandığı bir alandır. Sen “şaka yaptım”, “test ettim” ya da “kendimi geliştirdim” diyebilirsin. Ama dijital dünyada karşıya ne gösterdiğin değil, karşıya ne hissettirdiğin yargılanır. Her gönderdiğin bağlantı, bir izdir. O izi yanlış hedefe çizersen, senin haritanı çizerler. Öğrenmek istiyorsan önce kendini sınırla. Çünkü sınır bilmeyen bilgi, zarara dönüşür.