Sosyal Mühendislikte Yemleme (Phishing) ve Kullanıcı Farkındalığı Etiği: Sezgisel Güvenlik Analizi ve Etik Tasarım Denetimi

Sosyal Mühendislikte Yemleme (Phishing) ve Kullanıcı Farkındalığı Etiği: Sezgisel Güvenlik Analizi ve Etik Tasarım Denetimi

İçindekiler

Özet

1.Giriş

2.Bilişim Etiği Çerçevesi ve “Aldatılmama Hakkı”

3.Sosyal Mühendislikte Yemleme Yöntemleri ve Karanlık Örüntüler

     3.1. Kimlik Avında Aldatıcı Tasarım ve Birleşik Taksonomi

     3.2. Üretken Yapay Zeka Çağında “Sıradanlaşmış Aldatma”

4.Görsel Güven Körlüğü ve Göz İzleme (Eye-Tracking) Analizleri

5.Etik Tasarım Denetimi: Gerçek ve Sahte Web Arayüzlerinin Karşılaştırmalı Analizi

6.Güvenlik Odaklı Sezgisel Analiz (Heuristic Evaluation for Security)

7.Kullanıcı Odaklı Güvenlik Tasarımı ve Karar Verme Modeli

     7.1. NIST Phish Scale ve İnsan Merkezli Siber Risk Formülasyonu

     7.2. Rasyonel Karar Verme İçin Mantıksal Savunma Fazları

8.Uygulama: Bireysel Güvenlik Denetimi Araçları

     8.1. Phishing Dedektifi (Google Safe Browsing)

          8.1.1. Uygulama Adımları

     8.2. Google Phishing Quiz

          8.2.1. Uygulama Adımları

9.Sonuç

10.Kaynakça

11.Ekler

     EK-1 Özgünlük (İntihal) Analizi

     EK-2 AI Detector Analizi

Özet

Bu araştırma, kimlik avı (phishing) saldırılarını bilişim etiği çerçevesinde incelemektedir. Çünkü bu saldırılar, internet kullanıcılarını aldatmayı ve hassas verileri ele geçirmeyi odaklar. Özellikle teknolojik imkanların manipülasyon aracına dönüşmesi, çalışmanın temel etik sorunsalını oluşturur.

Süreçte, arayüzlerdeki yanıltıcı unsurları saptamak adına bir yöntem kullanılmıştır. Bu doğrultuda “Güvenlik Odaklı Sezgisel Analiz” metodundan yararlanılmıştır. Böylece bireylerin sanal ortamlardaki özerklikleri ve aldatılmama hakları gözetilmiştir. Ayrıca gerçek ve taklit web tasarımları üzerinde “Etik Tasarım Denetimi” yapılmıştır. Nitekim bu denetim sayesinde manipülasyonun arka planı somut biçimde gözler önüne serilmiştir.

Son aşamada ise özgün bir Karar Verme Modeli geliştirilmiştir. Şüphesiz bu model, “Kullanıcı Odaklı Güvenlik Tasarımı” esaslarına dayanmaktadır. Buradaki temel amaç, teknik birikimi az olan kullanıcıların bile bu tuzakları kolayca fark edebilmesidir.

1. Giriş

Günümüzde bilgi ve iletişim teknolojileri hayatımızın merkezinde yer almaktadır. Nitekim bireyler her gün sayısız dijital arayüzle farkında olmadan temas kurmaktadır (Kävrestad, 2021). Ancak bu hızlı dönüşüm, bilgi güvenliği olgusunu sadece teknik bir alan olmaktan çıkarmıştır. 

Tam da bu noktada, siber tehditlerin en tehlikeli türü olan kimlik avı saldırıları öne çıkar. Çünkü bu yöntemler sistem açıklarından ziyade doğrudan insanın psikolojik zaaflarını hedefler (Tengilimoğlu & Tutar, 2016). Başka bir deyişle saldırganlar, kullanıcıların güven duygusunu manipüle etmektedir.

İşte bu durum, bilişim etiği açısından ciddi bir krizi beraberinde getirir. Özellikle teknoloji, bireylerin iyi niyetini suistimal eden bir manipülasyon aracına dönüştürülmektedir (Kantar, 2024; Paltacı, 2024).

2. Bilişim Etiği Çerçevesi ve “Aldatılmama Hakkı”

Etik teoriler penceresinden bakıldığında, kimlik avı saldırıları bireyin en temel haklarını çiğner. Çünkü bu saldırıların merkezinde doğrudan kullanıcının “aldatılmama hakkının” gasp edilmesi yatar (Natale, 2021). Nitekim Immanuel Kant’ın ödev ahlakı perspektifi dürüstlüğü araçsal bir unsur olarak görmez. Aksine dürüstlük, insan onuruna ve bireysel özerkliğe duyulan saygının ta kendisidir (Schmitt, 2026). Dolayısıyla dürüst bir duruş sergilemek, karşıdaki insanın haklarına gösterilen ahlaki bir saygıdır (Natale, 2021).

Siber güvenliğin geleneksel dünyasında aldatma kavramı genellikle çok keskin okunur. Başka bir deyişle süreç, bilginin salt doğru veya yanlış aktarılması üzerinden değerlendirilir. Oysa dürüstlük olgusu verinin doğruluğundan çok daha fazlasıdır. Özellikle bu kavram, bireyler arasında sessizce kurulan güven köprüleriyle ilgilidir. Bu doğrultuda taraflar arasındaki görünmez itimadın arkadan iş çevrilerek sabote edilmesi ahlak dışıdır. Aynı şekilde siber saldırganların resmi kurum tasarımlarını taklit etmesi de ağır bir etik ihlaldir.

Kullanıcı özerkliği (autonomy) ise en basit tanımıyla bireyin hür iradesiyle karar verebilme yetisidir (Schmitt, 2026). Ancak kimlik avı düzenbazlıkları, yanıltıcı arayüz hileleriyle kullanıcının iradesini sakatlamaktadır. Sonuç olarak bu durum dijital dünyadaki “aydınlatılmış onam” ilkesini tamamen boşa çıkarır. Şüphesiz bireyler o an kendi kararlarını verdiklerini sansalar da aslında birer figürana dönüşürler. Bu yüzden siber güvenlikte insanı koruma gayreti, yalnızca maddi kayıpların önüne geçmeyi hedeflememelidir. Bilakis bu çaba, insanın dijital evrendeki ahlaki varlığını savunan köklü bir etik zorunluluktur (Natale, 2021).

3. Sosyal Mühendislikte Yemleme Yöntemleri ve Karanlık Örüntüler

Siber saldırganlar, taklit web arayüzlerini inşa ederken insan-bilgisayar etkileşimi disiplininden beslenmektedir. Nitekim bu süreçte insanoğlunun bilişsel zaaflarından oldukça profesyonelce yararlanırlar (Oh ve ark., 2025). Bu noktada en çok başvurdukları strateji ise arayüz manipülasyonlarıdır. Çünkü söz konusu yöntemler literatürde “karanlık örüntüler” veya “aldatıcı tasarım” olarak incelenir (Brignull, 2011).

Özellikle bu tasarımlar insanın hazıra konma ve varsayılana yönelme eğilimini tetikler. Ayrıca süreçte bir şeyi kaçırma korkusu ve sosyal kanıt gibi psikolojik refleksler kaşınır (Shi ve ark., 2025). Bu doğrultuda bireyler, normal şartlarda asla onaylamayacakları adımları atmaya ikna edilir.

3.1. Kimlik Avında Aldatıcı Tasarım ve Birleşik Taksonomi

Nitekim Shi ve arkadaşları (2025) tarafından literatüre kazandırılan güncel birleşik taksonomi, kimlik avı operasyonlarında sıkça sahnelenen bu etik dışı oyunları şu çarpıcı başlıklarla özetlemektedir:

Yanıltıcı Yönlendirme (Misdirection): Kullanıcıyı avlamak adına sahte indirme linklerinin veya parlak onay butonlarının agresif bir şekilde ön plana çıkarılması; buna karşın sistemin asıl niyetini ele veren kritik güvenlik detaylarının ve yasal uyarıların adeta köşe bucağa saklanması durumudur (Shi ve ark., 2025).

Zoraki Eylem (Forced Action): Bireyin aradığı hizmete ulaşabilmesi veya ekrandaki işlemi tamamlayabilmesi için e-posta, şifre ya da kritik kişisel verilerini sisteme girmeye adeta mecbur bırakılması, bir nevi dijital şantaja maruz kalmasıdır (Shi ve ark., 2025).

Çıkış Engelleme (Roach Motel): Sistemin kapılarını veri paylaşımı veya üyelik için ardına kadar açıp süreci çocuk oyuncağı haline getirirken; iş üyelikten ayrılmaya, paylaşılan verileri geri çekmeye ya da sayfadan güvenli bir şekilde çıkış yapmaya geldiğinde labirent gibi karmaşık engeller çıkaran arayüz kurnazlığıdır (Shi ve ark., 2025).

3.2. Üretken Yapay Zeka Çağında “Sıradanlaşmış Aldatma”

Günümüzde üretken yapay zekanın da dijital tasarım süreçlerine dahil olması, bu aldatıcı mekanizmaları çok daha sinsi, rafine ve çıplak gözle ayırt edilemez bir boyuta taşımıştır. Simone Natale’nin tam da bu duruma atıfla “sıradanlaşmış aldatma” (banal deception) şeklinde literatüre işlediği bu yeni perdede, artık kullanıcının radarına takılacak o eski, kaba ve agresif oltalama taktikleri büyük oranda terk edilmektedir (Natale, 2021). Artık tuzaklar, insanların günlük hayatta sırtını dayadığı, güvenerek sohbet ettiği akıllı asistanların ve yapay zeka arayüzlerinin o sakin, doğal iletişim dilinin arasına adeta birer hayalet gibi sızdırılmaktadır (Schmitt, 2026).

4. Görsel Güven Körlüğü ve Göz İzleme (Eye-Tracking) Analizleri

İnsan-bilgisayar etkileşimi (İBE) alanında yapılan güncel araştırmalar, siber saldırganların insan zihnini nasıl avladığını ve kullanıcıların dijital arayüzleri saniyeler içinde nasıl yanlış yorumlayabildiğini gözler önüne sermektedir (Oh ve ark., 2025). Oh ve ekibinin yürüttüğü ampirik göz izleme (eye-tracking) deneyi, bireylerin sahte e-postalar ya da taklit giriş sayfalarıyla karşılaştıklarında tam olarak nerelere baktıklarını ve hangi görsel kör noktalar yüzünden tuzağa düştüklerini somut verilerle kanıtlamıştır (Oh ve ark., 2025).

Deneye katılanların göz hareketleri ve odaklanma süreleri mercek altına alındığında, ortaya oldukça çarpıcı bilişsel refleksler çıkmıştır (Oh ve ark., 2025):

• Duygusal Sezgilerin Mantığı Devre Dışı Bırakması: Kullanıcılar sahte bir ekranla karşılaştıklarında, ilk refleks olarak mantıksal ve analitik bir süzgeç kullanmak yerine duygusal sezgileriyle hareket etmektedir. Özellikle ekranın köşesinde tanıdık bir marka logosunun bulunması veya tasarımın göze hitap eden estetik uyumu, kişide anlık bir güven ve rehavet duygusu tetiklemektedir. Bu sahte rahatlık hissi ise tehlikeyi sezecek analitik mekanizmaları gölgede bırakır.
• Görsel Odak Noktalarının Manivela Olarak Kullanılması: Deney sırasında elde edilen göz izleme ısı haritaları (heatmaps), kullanıcıların gözlerinin en az takıldığı yerlerin aslında güvenlik açısından hayati önem taşıyan noktalar olduğunu göstermiştir. Ekrandaki sahte marka logoları veya panik yaratan aciliyet ibareleri sorgusuz sualsiz doğru kabul edilmekte; beyin tanıdık bir görsel ögeyi gördüğü an savunma kalkanlarını indirip detaylı bir check-up yapma ihtiyacı hissetmemektedir (Oh ve ark., 2025).
• Hayati Güvenlik Sinyallerinin Iska Geçilmesi: Katılımcıların dikkat sürelerinin neredeyse tamamını arayüzün gövde metnine ve ana görsel alanına harcadığı saptanmıştır. Buna tezat olarak, gelen e-postanın gerçek gönderici adresi veya tarayıcının adres çubuğundaki (URL) alan adı uzantısı gibi sitenin gerçek kimliğini ele verecek en kritik bölgelere ise neredeyse hiç bakılmadığı, bu alanların tamamen kör noktada kaldığı belirlenmiştir (Oh ve ark., 2025).

5. Etik Tasarım Denetimi: Gerçek ve Sahte Web Arayüzlerinin Karşılaştırmalı Analizi

Teorik düzeyde tartışılan bu etik krizi pratik bir zeminde çözüme kavuşturabilmek için, siber zorbaların en çok gözünü diktiği kritik platformların (e-Devlet kapısı, bankacılık kanalları ve popüler sosyal medya giriş ekranları) orijinal halleri ile taklit versiyonlarını karşı karşıya getiren bir “Etik Tasarım Denetimi” uygulamak hayati bir gerekliliktir (Tengilimoğlu & Tutar, 2016).

Aşağıda yer alan tablo, söz konusu üç kritik dijital platformun resmi tasarımları ile siber saldırganların ağlarına kullanıcı düşürmek için devreye soktuğu manipülatif, ahlak dışı arayüz hilelerini karşılaştırmalı bir süzgeçten geçirmektedir:

Tablo 1

Platform Türlerine Göre Gerçek (Etik) ve Sahte (Yemleme) Tasarım Unsurlarının Karşılaştırılması

Not. Tablo, yazar tarafından hazırlanmıştır.

Bu karşılaştırmalı analiz, yemleme saldırılarının görsel taklit gücünün ötesinde, kullanıcıları tasarımsal tuzaklara çekmek için arayüz akışını nasıl bozduğunu göstermektedir (Oh et al., 2025).

6. Güvenlik Odaklı Sezgisel Analiz (Heuristic Evaluation for Security)

İnsan-Bilgisayar Etkileşimi (İBE) dünyasında arayüzlerin ne kadar kullanıcı dostu olduğunu ölçmek için sıklıkla başvurulan geleneksel sezgisel analiz yöntemi, dijital dönüşümle birlikte kabuk değiştirmiştir. Bu yöntem, zaman içerisinde siber güvenlik açıklarını yakalamayı ve tasarımdaki etik manipülasyonları deşifre etmeyi amaçlayan “Güvenlik Odaklı Sezgisel Analiz” yaklaşımına evrilmiştir (Kävrestad, 2021). Buradaki asıl felsefe; bir arayüzün kullanım konforunu ve pratikliğini zedelemeden, kullanıcıların sinsi tasarım oyunları yüzünden farkında bile olmadan büyük güvenlik zaafiyetleri yaratmasını daha işin tasarım aşamasındayken bloke etmektir (Mujinga ve ark., 2019).

Nitekim Yeratziotis ve çalışma arkadaşları (2012) tarafından literatüre kazandırılan “Kullanılabilir Güvenlik Sezgisel Değerlendirmesi” (Usable Security Heuristic Evaluation) modeli, bu koruyucu kalkanın sınırlarını çizerken şu temel yapı taşlarına işaret etmektedir:

• Sistem Durumunun Görünürlüğü (Visibility of Security Status): Dijital sistemler, o anki güvenlik katmanlarını ve kurulan bağlantının ne kadar güvenli olduğunu kullanıcıya net, şüpheye yer bırakmayan ve siber saldırganların manipüle edemeyeceği bir şeffaflıkla yansıtmak mecburiyetindedir (Yeratziotis ve ark., 2012).
• Rızanın Geri Alınabilirliği (Revocability): Kullanıcıların sisteme bir anlık refleksle veya yanılgıyla verdikleri izinleri, paylaştıkları kritik kişisel verileri ya da dijital onayları, diledikleri saniye hiçbir yapay engel olmaksızın kolayca geri çekebilme özgürlüğü bulunmalıdır (Yeratziotis ve ark., 2012).
• Doğal ve Anlaşılır Dil Kullanımı (User Language): Karşılaşılan güvenlik alarmları ve kritik bilgilendirme pencereleri, kullanıcıyı paniğe sevk eden ağdalı, teknik ya da karmaşık kod jargonları yerine; sıradan bir insanın günlük hayatta rahatça algılayabileceği son derece duru, sade ve yalın bir dille inşa edilmelidir (Yeratziotis ve ark., 2012).

7. Kullanıcı Odaklı Güvenlik Tasarımı ve Karar Verme Modeli

Siber güvenlik dünyasında uzun süre hüküm süren ve faturayı hep son kullanıcıya kesen “kullanıcıyı suçlama” (blame-the-user) paradigması, Angela Sasse ve Anne Adams’ın (1999) çığır açan çalışmasıyla çok sert bir biçimde sarsılmıştır (Adams & Sasse, 1999). Bu vizyoner bakış açısı, yaşanan güvenlik ihlallerini körü körüne kullanıcı hatası olarak nitelendirmeyi reddeder. Dolayısıyla, asıl can alıcı problemin, insanoğlunun bilişsel sınırlarını, dikkat eşiklerini ve günlük iş rutinlerini tamamen göz ardı eden empati yoksunu sistem tasarımlarından kaynaklandığını savunur (Adams & Sasse, 1999).

Bu felsefeden yola çıkarak, kullanıcıların dijital evrendeki sinsi arayüz manipülasyonlarını çıplak gözle ayırt edebilmelerini sağlamak amacıyla özgün bir Karar Verme Modeli inşa edilmiştir. Bu model, NIST Phish Scale (Yemleme Ölçeği) metodolojisinin sunduğu pratik araçlardan ilham almaktadır (Dawkins & Jacobs, 2023). Buna ek olarak, NIST Phish Scale algoritması, bir insanın oltalama saldırıları karşısında neden ve ne ölçüde savunmasız kalabileceğini nesnel kriterlerle ortaya koyar. Özellikle, tasarımdaki aldatıcı ipuçlarının ne kadar sinsi gizlendiği ve kurgulanan senaryonun kurbanın iş rolüyle ne denli örtüştüğü bu algoritmada matematiksel bir süzgece tabi tutulur (Dawkins & Jacobs, 2023).

7.1. NIST Phish Scale ve İnsan Merkezli Siber Risk Formülasyonu

Tam da bu felsefeden yola çıkarak, kullanıcıların dijital evrende karşılarına çıkan sinsi arayüz manipülasyonlarını çıplak gözle ayırt edebilmelerini sağlamak amacıyla, NIST Phish Scale (Yemleme Ölçeği) metodolojisinin sunduğu pratik araçlardan esinlenen özgün bir Karar Verme Modeli inşa edilmiştir (Dawkins & Jacobs, 2023). NIST Phish Scale algoritması, bir insanın oltalama saldırıları karşısında neden ve ne ölçüde savunmasız kalabileceğini; tasarımdaki aldatıcı ipuçlarının ne kadar sinsi gizlendiği ve kurgulanan senaryonun kurbanın iş rolüyle ne denli örtüştüğü üzerinden matematiksel bir süzgece tabi tutar (Dawkins & Jacobs, 2023).

Geliştirilen bu insan merkezli siber güvenlik risk modeli, odağına insan faktörünü yerleştiren dinamik bir formülasyonla hayat bulmaktadır:

Siber Risk = Saldırı Olasılığı × İnsan Savunmasızlığı × Mali ve Operasyonel Etki

Denklemi oluşturan bu sacayağı değişkenler, pratik düzeyde şu dinamik anlamlara karşılık gelmektedir:

• Siber Risk: Dijital sistemin veya kurumun topyekün karşı karşıya olduğu güncel tehdit tavanını ve nihai güvenlik kırılganlığını temsil eder.
• Saldırı Olasılığı: Organize bir sosyal mühendislik ya da kimlik avı operasyonunun hedef seçilen kullanıcıya bir şekilde ulaşma ve onu ağa düşürme ihtimalinin sayısal ifadesidir.
• İnsan Savunmasızlığı: Tamamen kullanıcının o anki bilişsel yorgunluğuna, anlık dikkat durumuna, siber güvenlik okuryazarlığı seviyesine ve ekrandaki karanlık tasarım hilelerinin ne kadar sinsi kurgulandığına bağlı olarak tuzağa düşme/inanma potansiyelidir.
• Mali ve Operasyonel Etki: Olası bir sızıntı veya saldırının başarıya ulaşması halinde, organizasyonun sırtına yüklenecek finansal faturaları, veri kayıplarını ve iş süreçlerinde yaşanacak felç edici aksaklıkları kapsar.

7.2. Rasyonel Karar Verme İçin Mantıksal Savunma Fazları

Kullanıcıların, akıllı manipülasyon anlarında panik yapmadan, rasyonel ve soğukkanlı kararlar verebilmesi için önerilen mantıksal savunma mekanizması ise şu akıcı fazlardan meydana gelmektedir:

1. Bilişsel Es (Dur ve Düşün): Önümüzdeki ekranda yapay bir acele, korku, hesap kapatma tehdidi veya gerçek olamayacak kadar parlak bir ödül baskısı var mı? Eğer bu psikolojik tetikleyicilerden biri bile seziliyorsa, beyin otomatik pilottan çıkmalı ve tam alarm durumuna (yüksek dikkat modu) geçmelidir (Adams & Sasse, 1999).
2. Görsel ve Teknik Mikroskopi: Tarayıcının adres çubuğu santim santim incelenmeli, alan adındaki harf oyunları avlanmalı ve SSL sertifikası gibi dijital mühürlerin gerçekliği titizlikle çek edilmelidir (Oh ve ark., 2025).
3. Bağlamsal Akıl Süzgeci: Gelen bu acil talebin, hayatın olağan akışına ve kullanıcının mevcut iş rutinine ne kadar uygun olduğu masaya yatırılmalıdır. Bu aşama, NIST Phish Scale’in can damarı olan “öncül uyumu” (alignment with context) mantığıyla doğrudan dirsek temasındadır (Dawkins & Jacobs, 2023).
4. Çift Kanal Doğrulama: En ufak bir şüphe anında, ekrandaki hiçbir linke veya butona dokunmadan; ilgili kurum veya kişiyle tamamen bağımsız, farklı bir iletişim kanalı (örneğin resmi web sitesindeki sabit hat veya yüz yüze iletişim) üzerinden teyit mekanizması çalıştırılmalıdır (Oh ve ark., 2025).

8. Uygulama: Bireysel Güvenlik Denetimi Araçları

Araştırmanın bu evresinde, gerek bireysel siber savunma reflekslerini güçlendirmek gerekse son kullanıcılara yönelik farkındalık eğitimlerinde pratik birer eğitim materyali olarak konumlandırılabilecek, tamamen ücretsiz iki kritik dijital güvenlik aracı adım adım mercek altına alınmaktadır.

8.1. Phishing Dedektifi (Google Safe Browsing)

Şekil 1: Google Şeffaflık Raporu – Güvenli Tarama Site Durumu Kontrol Arayüzü.

Dijital dünyadaki ilk koruma kalkanımız olan Google Safe Browsing, Google tarafından hayata geçirilen ve internet ekosistemindeki güncel güvenlik tehditlerini anlık olarak filtrelemek amacıyla kullanılan küresel bir siber istihbarat platformudur. Sistem; arka planda sinsi faaliyetler yürüten zararlı yazılımları, kullanıcıları gafil avlamayı hedefleyen kimlik avı (phishing) tuzaklarını ve insanları aldatmaya programlanmış çakma web platformlarını daha yolun başındayken engellemeye odaklanır. Platformun sunduğu “Safe Browsing Status” kontrol mekanizması sayesinde kullanıcılar, önlerindeki şüpheli bir web adresinin (URL) sabıkalı olup olmadığını doğrudan sorgulama şansına sahiptir.

Siber korsanların, bu tarz koruma kalkanlarını ve son kullanıcıyı bypass etmek adına sıklıkla arkasına sığındığı, harf oyunlarına dayalı benzer alan adı (typo-squatting) düzenbazlıklarına dair en tipik örnekler ise şu şekildedir:

• instagram.com  (Güvenli / Resmi Alan Adı)
• instagrarn-security.com  (Yemleme / Sahte Arayüz Yönlendirmesi)
• turkiye.gov.tr  (Güvenli / Resmi Devlet Portalı)
• turkiye-destek-login.com  (Yemleme / Sahte Kimlik Doğrulama Ekranı)

8.1.1. Uygulama Adımları

Adım 1: Platforma erişim sağlayın.

İlk olarak tarayıcınızın adres çubuğuna doğrudan https://transparencyreport.google.com/safe-browsing/search linkini yazarak Google Safe Browsing’in resmi sorgulama arayüzüne ulaşın.

Adım 2: Şüpheli URL adresini girin.

Önünüze düşen şüpheli bir e-postadan, gelen bir SMS’ten veya sosyal medya platformlarında karşınıza çıkan reklam linklerinden kopyaladığınız, güvenliğinden emin olamadığınız o hedef web adresini (URL) kopyalayıp sistemin ana ekranındaki arama çubuğuna yerleştirin.

Adım 3: Güvenlik durum raporunu inceleyin.

“Ara” butonuna tıklayarak sorgu sürecini başlatın. Sistem, küresel veri tabanında anlık bir check-up yürüterek söz konusu adresin geçmişte bir kimlik avı (phishing) tezgahına bulaşıp bulaşmadığını veya cihazınıza sinsi bir zararlı yazılım indirmeye çalışıp çalışmadığını gösteren şeffaf bir risk raporu önünüze serecektir.

8.2. Google Phishing Quiz

Şekil 2: Jigsaw Tarafından Geliştirilen Google Kimlik Avı (Phishing) Testi Giriş Ekranı.

Google Phishing Quiz, kullanıcıların sinsi sosyal mühendislik taktiklerine ve sofistike kimlik avı senaryolarına karşı zihinsel savunma reflekslerini (bilişsel dayanıklılıklarını) test etmek amacıyla kurgulanmış interaktif bir simülasyon ve pratik eğitim aracıdır.

8.2.1. Uygulama Adımları

Adım 1: Eğitim platformunu başlatın.

Herhangi bir yorucu kurulum süreci, e-posta aktivasyonu veya üyelik zorunluluğu olmaksızın, tarayıcınız üzerinden doğrudan ilgili adrese giriş yapın ve simülasyonun ilk adımını atın.

Adım 2: İnteraktif senaryoları analiz edin.

Test boyunca ekranınıza gelecek olan; şüpheli e-postalar, manipülatif URL’ler ve tehlikeli dosya eklerinden oluşan 8 farklı siber güvenlik simülasyonunu titizlikle inceleyin. Bu evrede, gönderici kısmındaki harf oyunlarını avlamak için alan adlarına odaklanın, köprü bağlantılarının (hyperlinks) üzerine farenizi getirerek tarayıcının sol alt köşesinde beliren asıl hedef adresleri röntgenleyin ve metindeki o panik yaratan yapay acele dilini süzgeçten geçirin.

Adım 3: Güvenli veya Yemleme kararı verin.

Karşınızdaki her bir senaryoda incelenen içeriğin sinsi bir “Kimlik Avı (Phishing)” tuzağı mı, yoksa hayatın olağan akışına uygun “Güvenli” bir ileti mi olduğuna karar verip ekrandaki yönlendirme butonları aracılığıyla tercihinizi yapın.

Adım 4: Başarı skorunu ve gerekçeli analizleri inceleyin.

Bastığınız her butonun hemen ardından sistemin önünüze sereceği teknik detayları, ipuçlarını ve hatanızı/doğrunuzu açıklayan gerekçeleri dikkatlice okuyun. Simülasyon bittiğinde karşınıza çıkacak olan genel başarı skorunu ve analiz özetini inceleyerek, en çok hangi sinsi tasarım oyunlarına (karanlık örüntülere) karşı savunmasız kaldığınızı kendi kendinize check edin.

9. Sonuç

Sosyal mühendislik gölgesinde büyüyen kimlik avı saldırılarını ve farkındalığın ahlaki boyutunu masaya yatıran bu araştırma; siber güvenliğin yalnızca sunucular, algoritmalar ve teknik altyapılardan ibaret soğuk bir alan olmadığını açıkça kanıtlamaktadır. Aksine, siber güvenlik; insan refleksleri, bilişsel süreçler ve ahlaki değerlerle beslenen sosyo-teknik bir ekosistemdir (Adams & Sasse, 1999). Bireylerin dijital dünyada aldatılmama hakları ile özgürce karar verebilme özerklikleri, sanal evrenin sürdürülebilirliği adına tavizsiz korunması gereken temel ahlaki sütunlardır (Natale, 2021).

Yarının dünyasında çok daha dirençli ve proaktif bir siber savunma kalkanı inşa edebilmek, bugünün geleneksel güvenlik ezberlerini bozmaktan geçmektedir (Mujinga ve ark., 2019). Bu doğrultuda, faturayı her seferinde son kullanıcıya kesen eski yaklaşımlar artık tamamen terk edilmelidir. İnsanı “zayıf halka” olarak yaftalayan bu bakış açısı, bireylerde kronik bir “güvenlik yorgunluğuna” yol açmaktadır. Bunun yerine, dijital mimarinin daha ilk çizim aşamasında etik sorumluluğu merkeze alan vizyoner modeller sahiplenilmelidir. Özellikle, ekranlarda kullanıcı iradesini sakatlayan karanlık tasarımlar (dark patterns) tamamen aforoz edilmelidir. “Kullanıcı Odaklı Güvenli Tasarım” esaslarının yasal birer endüstri standardına dönüştürülmesi ise güvenli bir dijital geleceğin inşası için en kritik virajdır (Yeratziotis ve ark., 2012).

10.Kaynakça

• Adams, A., & Sasse, M. A. (1999). Users are not the enemy. Communications of the ACM, 42(12), 40-46. https://www.researchgate.net/publication/220427273_Users_Are_Not_the_Enemy
• Brignull, H. (2011). Dark patterns: Deception vs. honesty in UI design. Interaction Design, 338, 2-4. https://www.researchgate.net/publication/404566664_UX_experts_vs_AI_exploring_the_performance_of_large_language_models_and_humans_on_detecting_dark_patterns
• Dawkins, S., & Jacobs, J. (2023). NIST Phish Scale User Guide (NIST Technical Note 2276). National Institute of Standards and Technology.https://nvlpubs.nist.gov/nistpubs/TechnicalNotes/NIST.TN.2276.pdf
• Google. (t.y.-a). Google Safe Browsing Şeffaflık Raporu. Google LLC. https://transparencyreport.google.com/safe-browsing/search
• Google. (t.y.-b). Google Phishing Quiz. Jigsaw & Google. https://phishingquiz.withgoogle.com
• Kantar, N. (2024). Bilişim felsefesi bağlamında bilişim etiği ve güncel tartışmalar. Iğdır Üniversitesi Sosyal Bilimler Dergisi, 36, 112-133. https://dergipark.org.tr/tr/pub/igdirsosbilder/article/1438547
• Kävrestad, J. (2021). Exploring the meaning of usable security – a literature review. Information and Computer Security, 29(4), 647-662. https://www.emerald.com/ics/article-pdf/29/4/647/697679/ics-10-2020-0167.pdf
• Mujinga, M., Eloff, M. M., & Kroeze, J. H. (2019). Towards a framework for online information security applications development: A socio-technical approach. South African Computer Journal, 31(1), 53-73.(https://scielo.org.za/scielo.php?script=sci_arttext&pid=S2313-78352019000100003)
• Natale, S. (2021). Deceitful media: Artificial intelligence and social life. Oxford University Press. https://www.researchgate.net/publication/404712881_Exploring_the_meaning_of_deception_in_generative_AI
• Oh, S., Bae, Y., Thompson, I. A., & Im, Y. (2025). Uncovering the dark patterns of phishing emails: An eye-tracking analysis. IEEE Access, 13, 197634-197644. https://ieeexplore.ieee.org/iel8/6287639/10820123/11250614.pdf
• Paltacı, B. M. (2024). Dijital dünyanın tehditleri: Siber zorbalık ve siber istismar. Orta Doğu ve Orta Asya-Kafkaslar Araştırma ve Uygulama Merkezi Dergisi, 4(1), 56-62. https://dergipark.org.tr/tr/pub/odak/article/1501499
• Schmitt, P. (2026). Exploring the “banality” of deception in generative AI. arXiv preprint arXiv:2605.07012. https://arxiv.org/html/2605.07012v1
• Shi, Z., Sun, R., Chen, J., Sun, J., Xue, M., Gao, Y., Liu, F., & Yuan, X. (2025). 50 shades of deceptive patterns: A unified taxonomy, multimodal detection, and security implications. arXiv preprint arXiv:2501.13351. https://arxiv.org/abs/2501.13351
• Tengilimoğlu, D., & Tutar, H. (2016). Bilişim etiği ve oltalama yöntemleri. TBV Kamu Yayınları, 8(1), 12-25. https://dergipark.org.tr/en/download/article-file/254134
• Yeratziotis, A., Pottas, D., & van Greunen, D. (2012). A usable security heuristic evaluation for the online health social networking paradigm. International Journal of Human-Computer Interaction, 28(10), 678-694. https://pure.unic.ac.cy/en/publications/a-usable-security-heuristic-evaluation-for-the-online-health-soci/

11.Ekler

EK-1 Özgünlük (İntihal) Analizi

Bu çalışma, Cahit Cengizhan (2026) tarafından belirtilen makale yayın ilkelerine uygun olarak teknik denetimlerden geçirilmiştir. Denetim sonuçları aşağıda sunulmuştur:

Makale 19.05.2026 tarihinde https://plagiarismdetector.net/ adresinde iki bölüm halinde taranmış, benzerlik incelemesinden geçmiştir. Birinci bölümün %100, ikinci bölümün %91 oranında özgün (Unique) olduğu saptanmıştır. Ortalama özgünlük oranı %95,5’tir.

EK-2 AI Detector Analizi

Makale 19.05.2026 tarihinde AI Content Detector | Trusted GPT-5, and Free AI Detector adresinde yapay zeka içerik incelemesinden geçmiştir. Yazının yapay zeka tarafından üretilme benzerlik oranı %2,40 olarak ölçülmüştür.

Bu eser Yağmur Engin tarafından Creative Commons Atıf-AynıLisanslaPaylaş 4.0 Uluslararası Lisansı ile lisanslanmıştır.

yagmur_engin

Ben Yağmur Engin, Marmara Üniversitesi Bilgisayar ve Öğretim Teknolojileri Öğretmenliği bölümünde 4. sınıf öğrencisiyim. Eğitim teknolojileri, dijital içerik üretimi ve öğretim tasarımı alanlarına ilgi duyuyor; bu alanlarda kendimi sürekli geliştirmeye özen gösteriyorum. Lisans eğitimim süresince edindiğim teorik bilgileri, yer aldığım staj ve proje deneyimleriyle pratiğe dökerek eğitim içerikleri geliştirme, dijital materyaller tasarlama ve öğretim süreçlerini planlama konularında yetkinlik kazandım. Özellikle öğrenci merkezli, etkileşimli ve yenilikçi öğrenme deneyimleri tasarlamak üzerine çalışıyorum. Bunun yanı sıra ekip çalışmasına uyum sağlama, etkili iletişim kurma ve süreç yönetimi konularında kendimi geliştirdim. Farklı dijital araçları ve platformları aktif şekilde kullanarak yaratıcı ve işlevsel içerikler üretmeyi seviyorum. Eğitim içerikleri için görsel tasarım, dijital öğrenme materyalleri geliştirme ve kullanıcı deneyimini iyileştirme süreçlerinde aktif rol aldım. Tasarım odaklı düşünme yaklaşımını benimseyerek, kullanıcı ihtiyaçlarını analiz eden ve çözüm üreten çalışmalar yapmaya önem veriyorum. Sürekli öğrenmeye açık bir birey olarak, eğitim, teknoloji ve tasarımı bir araya getiren üretim odaklı projelerde yer almayı hedefliyor; gelecekte bu alanlarda katma değer sağlayan bir eğitim teknolojileri uzmanı olmayı amaçlıyorum.

www.linkedin.com/in/yagmur-engin-002350246/