--- url: 'https://www.corbado.com/tr/blog/phishing-as-a-service' title: 'Hizmet Olarak Kimlik Avı (PhaaS) Açıklandı: Yapay Zeka, Deepfake''ler ve Savunma' description: 'Hizmet Olarak Kimlik Avı (PhaaS) saldırılarının proxy''ler ve deepfake''ler kullanarak MFA''yı nasıl atlatabildiğini ve korunmak için neler yapabileceğinizi öğrenin.' lang: 'tr' author: 'Alex' date: '2026-05-27T10:42:07.382Z' lastModified: '2026-05-27T11:21:21.706Z' keywords: 'PhaaS, Hizmet Olarak Kimlik Avı, Tycoon 2FA, Kimlik avı sağlayıcıları, yapay zeka kimlik avı, ajan kimlik avı, insan riski yönetimi, yapay zeka kimlik avı saldırıları, ortadaki düşman kimlik avı, ajan yapay zeka siber saldırıları, vibe scamming, QR kod ki' category: 'Authentication' --- # Hizmet Olarak Kimlik Avı (PhaaS) Açıklandı: Yapay Zeka, Deepfake'ler ve Savunma ## Key Facts - **Tycoon 2FA**, Microsoft 365 ve Gmail'i hedefleyen e-posta güvenlik filtrelerini aşmak için Sezar şifreleme gizlemesi ve Unicode Hangul Dolgu karakterleri kullanarak, 10 gün için yaklaşık 120 ABD Doları karşılığında PhaaS pazarının %89'una hakimdir. - **Ortadaki Düşman (AiTM)** saldırıları, bir ters proxy aracılığıyla oturum çerezlerini gerçek zamanlı olarak ele geçirerek MFA'yı atlatır ve kimlik bilgilerini veya belirteçleri tekrar oynatmadan tam hesap erişimi sağlar. - **Yapay zeka tarafından oluşturulan hedefli kimlik avı**, 2025'in başlarında kritik bir eşiği aştı: Hoxhunt verileri, yapay zekanın 2023'te seçkin insan sosyal mühendislerden %31 daha az etkiliyken, Mart 2025'e kadar %24 daha etkili hale geldiğini gösteriyor. - Ortalama kimlik avı ihlali maliyeti 2024'te yaklaşık %10 artarak **4,88 milyon ABD Dolarına** ulaştı. Sağlık hizmetleri ihlalleri ortalama 9,77 milyon ABD Doları ile herhangi bir sektörün en yükseği oldu. ## 1. Giriş: Hizmet Olarak Kimlik Avı Kimlik avı, geniş, yüksek hacimli e-posta gönderimlerinden uzaklaşarak, ölçekli olarak da yürütülebilen daha hedefli saldırılara doğru ilerliyor. Hazır kimlik avı kitleri, artık nispeten deneyimsiz saldırganların, eskiden yalnızca gelişmiş kalıcı tehditler (APT'ler) ve devlet destekli gruplarla ilişkilendirilen bir etkinlik düzeyine ulaşmasına olanak tanıyor. Bu sorunun etkisi giderek kötüleşiyor: [2024 IBM/Ponemon Veri İhlalinin Maliyeti araştırması](https://cdn.table.media/assets/wp-content/uploads/2024/07/30132828/Cost-of-a-Data-Breach-Report-2024.pdf), kimlik avı olaylarının ortalama yıllık maliyetinin yaklaşık %10 artarak 4,88 milyon ABD Dolarına çıktığını ve bunun pandemi sonrası en önemli sıçramalardan biri olduğunu bildiriyor. Aynı zamanda, deepfake teknolojisi dolandırıcılık için yeni yollar açıyor: Right Hand Cybersecurity, sentetik medya faaliyetlerinde yıldan yıla %680'lik bir artış rapor ediyor ve bu da geleneksel doğrulama protokollerini atlatabilen saldırılara olanak tanıyor. Her gün 3,4 milyardan fazla kimlik avı e-postası dolaşıma giriyor (küresel e-posta trafiğinin yaklaşık %1,2'si) ve [Google her gün bunların yaklaşık 100 milyonunu engelliyor](https://telecom.economictimes.indiatimes.com/news/gmail-blocks-more-than-100-million-phishing-attempts-google-play-scans-100-apps-for-malware-everyday-says-google/83363781). Anti-Phishing Working Group (Kimlik Avını Önleme Çalışma Grubu), yalnızca 2025'in ilk çeyreğinde 1.003.924 saldırı kaydetti; bu, 2023'ün sonlarından bu yana görülen en yüksek seviye. Kimlik avı, [ABD'deki veri ihlallerinin %36'sına katkıda bulunarak](https://www.verizon.com/business/resources/reports/dbir/) ve siber saldırıların %80'inden fazlasında rol oynayarak gerçek dünyadaki hasarın başlıca itici gücü olmaya devam ediyor. Ortalama ihlal maliyetleri 4,88 milyon ABD Doları seviyesinde; [iş e-postalarının ele geçirilmesinden (BEC) kaynaklanan kayıplar yıllık 2,7 milyar ABD Dolarına ulaşıyor](https://newsroom.ibm.com/2024-07-30-ibm-report-escalating-data-breach-disruption-pushes-costs-to-new-highs) ve fidye yazılımları (genellikle kimlik avı yoluyla başlatılır) ihlallerin %44'ünde görülüyor. Bu makalede, Hizmet Olarak Kimlik Avı (PhaaS) ve yapay zeka kullanımı gibi yeni yaklaşımlarla kimlik avının geçtiğimiz yıllarda nasıl değiştiğine ilişkin en önemli hususları ele alacağız. Özellikle bu makalede şu soruları yanıtlayacağız: 1. Hizmet Olarak Kimlik Avı (PhaaS) nedir? 2. Modern kimlik avı saldırılarında yapay zekanın rolü nedir? 3. Kuruluşlar modern kimlik avına karşı nasıl savunma yapabilir (teknik kontroller, insan riski yönetimi ve yönetişim/politika)? ## 2. Hizmet Olarak Kimlik Avı (PhaaS) Nedir? Siber suç artık uzman bilgisayar korsanlarına ayrılmış bir alan değil. Hizmet Olarak Kimlik Avı'nın (PhaaS) yükselişi, başarılı saldırılar başlatmak için teknik beceri gerekliliğini büyük ölçüde azalttı. Yasal yazılım şirketlerinin iş modellerini taklit ederek abonelikler, müşteri desteği ve düzenli güncellemeler sunan suçlu geliştiriciler, kimlik avını neredeyse herkes için erişilebilir hale getirdi. ### 2.1 Kimlik Avı Araçlarına Erişimin Ticarileşmesi PhaaS pazarı kademeli bir ekosisteme dönüştü. Giriş seviyesinde, acemi saldırganlar ("script kiddies") düşük ücretler karşılığında gelişmiş altyapıya kiralayarak erişebilirken, gelişmiş operatörler özel barındırma ve özel atlatma yetenekleri sunan "kurumsal" kademeleri satın alabilirler. Bu ekonomik yapı, faaliyetlerde devasa bir artışa yol açtı. [Yalnızca 2025'in ilk iki ayında bir milyondan fazla PhaaS tabanlı saldırı tespit edildi ve bu, suç hizmetleri için güçlü ve genişleyen bir kullanıcı tabanına işaret ediyor.](https://blog.barracuda.com/2025/03/19/threat-spotlight-phishing-as-a-service-fast-evolving-threat) Bu kitlerin satışa sunulduğu [pazar yeri](https://www.corbado.com/passkeys-for-e-commerce), çoğunlukla Telegram üzerinde barındırılıyor ve satış ile destek için şifreli, yüksek erişilebilirliğe sahip bir kontrol düzlemi olarak hizmet veriyor. **En Popüler PhaaS Platformlarının Analizi (2025)** | **Platform** | **Tahmini Pazar Payı** | **Fiyatlandırma Modeli** | **Temel Teknik Ayırt Edici Özellik** | **Birincil Hedefler** | | -------------- | ------------------------ | ------------------------ | -------------------------------------------------- | ---------------------------------- | | **Tycoon 2FA** | %89 | \~120 ABD Doları / 10 gün| Sezar Şifreleme gizlemesi; WebSocket veri sızdırma | Microsoft 365, Gmail | | **EvilProxy** | %8 | 400 - 600 ABD Doları / ay| Doğrulanmış kullanıcı incelemesi; Yüksek itibarlı proxy düğümleri| C-Suite, BT Yöneticileri, Geliştiriciler | | **Sneaky 2FA** | %3 | 150 ABD Doları / ay (temel)| Manuel oturum manipülasyonu için "Kontrol Merkezi" | Kurumsal VPN'ler, Office 365 | | **Greatness** | < %1 | Değişken | Eke dayalı HTML/PDF tuzaklarına odaklanma | KOBİ Finans Departmanları | Aşağıdaki grafik, ekosistemdeki diğer oyuncularla karşılaştırıldığında Tycoon 2FA'nın ezici pazar hakimiyetini göstermektedir: ### 2.2 Tycoon 2FA: Kimlik Avı Kitinin Detaylı Analizi Tycoon 2FA, iki faktörlü (2FA) ve çok faktörlü kimlik doğrulamayı (MFA) atlatmak için tasarlanmış gelişmiş bir Hizmet Olarak Kimlik Avı (PhaaS) platformudur. Esas olarak, bir "Ortadaki Düşman" (AiTM) tekniği kullanarak Microsoft 365 ve Gmail hesaplarını hedefler. 2025'in başlarına gelindiğinde Tycoon 2FA, pazarın ana oyuncusu haline geldi ve her 10 kimlik avı olayından yaklaşık 9'unu oluşturdu. Başarısı, modern güvenlik filtrelerine görünmez kalabilme yeteneğinden kaynaklanmaktadır. 2025'teki büyük bir güncellemede geliştiriciler, zararlı kodlarını gizlemek için eski taktikleri gelişmiş şifrelemeyle değiştirdiler. Özellikle, artık kodu karıştırmak için bir "Sezar şifrelemesi" kullanıyorlar ve görünmez "Hangul Dolgu" karakterleri (Unicode 3164) ekliyorlar. Bu karakterler kullanıcıdan gizlenir, ancak bilinen tehditlerin dijital "imzalarını" arayan otomatik tarayıcıların kafasını karıştırmaya yarar. Bu kitleri dağıtmak için Tycoon, "meşru hizmetlerden yararlanma" stratejisi kullanıyor ve tuzaklarını Amazon S3, Canva ve Dropbox gibi güvenilir, yüksek itibarlı hizmetlerde barındırıyor. Güvenli E-posta Ağ Geçitleri (SEG'ler) bu ünlü alan adlarına güvenecek şekilde programlandığından, kimlik avı e-postaları çoğu zaman filtreleri tamamen atlatır. Son olarak, saldırganlar güvenlik botları tarafından izlenmediklerinden emin olmak için kullanıcıları sahte oturum açma sayfasını hiç görmeden önce karmaşık bir yönlendirme zinciri ve Cloudflare CAPTCHA'ları aracılığıyla gönderirler. ### 2.3 Ortadaki Düşman (AiTM) Mekaniği Modern PhaaS kitlerinin belirleyici yeteneği, Ortadaki Düşman (AiTM) saldırısıdır. Bu teknik, canlı kimlik doğrulama oturumunu araya girip ele geçirerek geleneksel kimlik bilgisi toplama yöntemlerini modası geçmiş hale getirir ve böylece Çok Faktörlü Kimlik Doğrulamayı (MFA) atlatır. Bir AiTM saldırısının mimarisi, klonlanmış bir siteden temel olarak farklıdır. 1. **Proxy Başlatma:** Bir kurban kimlik avı URL'sine eriştiğinde, PhaaS sunucusu ters proxy olarak login.microsoftonline.com gibi meşru Kimlik Sağlayıcısına (IdP) bir bağlantı başlatır. 2. **Trafiği Yansıtma:** Proxy meşru oturum açma içeriğini alır ve bunu kurbana iletir. Kurban, zararlı bir alan adında sunulsa da gerçek Microsoft oturum açma sayfasını görür. 3. **Gerçek Zamanlı Aktarım:** Kurban kimlik bilgilerini girdikçe, proxy bunları yakalar ve IdP'ye iletir. 4. **MFA Müdahalesi:** IdP ikinci faktörü (örneğin bir SMS kodu veya doğrulayıcı uygulama istemi) talep ettiğinde, proxy bu isteği kurbana yansıtır. 5. **Oturum Çalma:** Kurban MFA belirtecini sağlar. Proxy bunu IdP'ye iletir. IdP oturumu doğrular ve bir oturum çerezi (örneğin ESTSAUTH veya ESTSAUTH_PERSISTENT) yayınlar. 6. **İhlal:** En önemlisi, proxy bu oturum çerezini _ele geçirir_. Bunu kurbana geri aktarmaz (veya orijinalini saklarken bir kopyasını aktarır). Saldırgan artık kurbanın hesabına herhangi bir cihazdan erişmesine olanak tanıyan geçerli, doğrulanmış bir oturum çerezine sahiptir ve belirtecin süresi dolana kadar bir parola veya MFA belirtecine ihtiyaç duymadan bunu atlatır. ![AiTM-diagram.png](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Ai_TM_diagram_78f4be4ced.png) Sneaky 2FA gibi kitler, saldırganların oturuma manuel olarak müdahale etmesine ve saldırıyı gerçek zamanlı olarak etkili bir şekilde yönetmesine olanak tanıyan yönetim panelleri sunarak bunu daha da geliştirmiştir. ### 2.4 Hizmet Olarak Kimlik Avı Sağlayıcılarının Altyapısı PhaaS altyapısını çökertmek, merkezi olmayan doğası nedeniyle çok zordur. Çekirdek "yönetici" panelleri gevşek siber yasalara sahip yargı bölgelerindeki sunucularda barındırılabilirken, uç düğümler (gerçek kimlik avı sayfaları) kısa ömürlüdür. Örneğin Tycoon 2FA, binlerce tek kullanımlık alan adı oluşturmak için bir Alan Adı Üretme Algoritması (DGA) kullanır. Cloudflare Turnstile ayrıca güvenlik tarayıcılarını engeller ve kimlik avı sitelerinin resmi görünmesini sağlar. İnsanlar bu kontrolleri gerçek web sitelerinde görmeye alışkın oldukları için sayfaya güvenme olasılıkları daha yüksektir. Tycoon 2FA sayfaları sıklıkla "Quishing" (QR Kod Kimlik Avı) yoluyla dağıtılır. QR kodu, görüntü verilerini ayrıştıramayan e-posta güvenlik tarayıcılarından gelen tehdidi etkili bir şekilde gizleyen zararlı URL'yi içerir. Bu vektör, genellikle kurumsal iş istasyonlarının uç nokta koruma kontrollerinden yoksun olan mobil cihazları hedefleyerek yıldan yıla %25'lik bir artış görmüştür. ## 3. Yapay Zeka Çağında Kimlik Avı PhaaS, kitlelerin sömürülmesi için altyapıyı sağladıysa, Yapay Zeka zeka ve içeriği sağlamıştır. Üretken Yapay Zekanın (GenAI) siber suç yaşam döngüsüne entegrasyonu, saldırganlar için en büyük iki sorunu çözdü: ölçek ve inandırıcılık. "Kötü dilbilgisi" ve "genel selamlama"nın kimlik avının güvenilir göstergeleri olarak hareket ettiği günler geride kaldı. ### 3.1 "Vibe Scamming" ve Kodsuz Araçların Silahlaştırılması 2025'teki önemli bir gelişme, "vibe scamming" (atmosfer dolandırıcılığı) ortaya çıkmasıdır. Bu eğilim, kullanıcıların zararlı varlıklar üretmek için doğal dil komutlarını kullanarak yazılım oluşturduğu "vibe kodlama" idealini sömürmektedir. Yazılım oluşturmayı demokratikleştirmek için tasarlanan Lovable gibi meşru platformlar, siber suç motorları haline geldi. Guardio Labs, yapay zeka ajanlarının kötüye kullanıma karşı direnci üzerine bir kıyaslama gerçekleştirdi ve ChatGPT gibi yerleşik modellerin zararlı istekleri reddetmede nispeten yüksek puan (8/10) almasına rağmen, Lovable gibi daha yeni platformların endişe verici derecede düşük (1,8/10) puan aldığını buldu. Saldırganlar bu araçlara basitçe şu şekilde komut verebilir: _"Büyük bir banka hissi veren, resmi mavi ve kırmızı markalamayı kullanan ve sosyal güvenlik numaraları için alanları olan bir giriş portalı oluştur"_, ve yapay zeka mükemmel pikselli, tamamen işlevsel kimlik avı kodu üretir. Bu yetenek, saldırganların eski PhaaS kitlerinin "şablon yorgunluğunu" aşmasını sağlar. Savunucuların parmak izini aldığı standart bir Microsoft şablonu kullanmak yerine, bir vibe scammer her bir kampanya için, hatta her bir kurban için benzersiz, uyarlanmış bir giriş sayfası oluşturabilir. Proofpoint, 2025'in başlarında on binlerce Lovable tarafından oluşturulan URL'nin Tycoon ve diğer kötü amaçlı yazılımları dağıttığını gözlemleyerek, bunun teorik bir tehdit değil, devasa, aktif bir vektör olduğunu doğruladı. ### 3.2 Ajan Yapay Zeka (Agentic AI), Otonom Casusluğu Teşvik Ediyor Yapay zeka artık içerik üretmenin ötesinde, saldırıları yürütmek için de kullanılıyor. Üretken Yapay Zeka'dan "Ajan Yapay Zeka"ya (Agentic AI) geçiş, sosyal mühendislik için kilit bir anı temsil ediyor: 2024'ün sonlarında Çin devlet destekli bir grubu içeren bir olay meydana geldi. Bu düşman, büyük ölçekli bir siber casusluk kampanyası yürütmek için (otomatik yazılım geliştirme için tasarlanmış) Anthropic'in "Claude Code" ajanını kullandı. Etik güvenlik sınırlarını atlatarak, saldırganlar yapay zekayı üst düzey hedeflerle görevlendirmeyi başardılar. Yapay zeka ajanı özerk olarak keşif yaptı, belirli güvenlik açıklarını hedeflemek için özel istismar kodu yazdı, kimlik bilgilerini topladı ve ağlar arasında hareket etti. Bu güç çarpanı etkisi, operatörlerden oluşan küçük bir ekibin yüzlerce kuruluşu eş zamanlı olarak, kendini işine adamış bir insan kırmızı takımının derinliği ve kalıcılığıyla hedeflemesine olanak tanır. Hoxhunt tarafından 2023 ile 2025 yılları arasında yürütülen deneyler, yapay zeka yeteneklerinin hızlı gelişimini ortaya koyuyor. Aşağıdaki zaman çizelgesinde gösterildiği gibi yapay zeka ajanları, 2025'in başlarında insan etkililiği eşiğini geçerek, seçkin sosyal mühendislerden %31 daha az etkiliyken %24 daha etkili hale geldi. Ayrıca araştırmalar, yapay zeka destekli hedefli kimlik avı kampanyalarının, genel kampanyalar için çok daha düşük oranlara kıyasla, %50'yi aşan tıklama oranlarına ulaşabildiğini gösteriyor. Maliyet düşüşü de aynı derecede çarpıcıdır. Yapay zeka güdümlü kampanyalar, üstün sonuçlar sunarken manuel kampanyaların yaklaşık 30'da 1'ine mal oluyor. ### 3.3 Örnek Olay İncelemesi: "Arup Soygununda" Deepfake'ler Yapay zekanın güvenlik üzerindeki en doğrudan etkilerinden biri, son derece gerçekçi, bilgisayar tarafından üretilen ses ve video olan deepfake'lerin yükselişidir. Bu araçlar duyularımızı kandırmak üzere tasarlanmıştır, bu da insanların bir kişinin kimliğini doğrulamaya çalışırken kendi gözlerine ve kulaklarına güvenmesini zorlaştırır. [Mühendislik firması Arup'tan 2024 yılında çalınan 25 milyon ABD Doları, bu yeni dolandırıcılık çağı için kesin bir örnek olay incelemesidir](https://www.weforum.org/stories/2025/02/deepfake-ai-cybercrime-arup/). **Arup Olayı (25 Milyon ABD Doları Kayıp)** - **Kurulum:** Arup'un Hong Kong ofisindeki bir çalışan, İngiltere merkezli Finans Direktörü'nden (CFO) geliyormuş gibi görünen ve gizli bir mali işlem talep eden bir e-posta aldı. İstekten şüphelenen çalışan duraksadı. Bu, standart bir güvenlik farkındalığı modelinde doğru prosedürdür. - **Atlatma:** Çalışanın endişelerini gidermek için saldırganlar bir video konferans görüşmesi başlattı. - **Aldatmaca:** Çalışan görüşmeye katıldığında sadece CFO'yu değil, aynı zamanda tanınan birkaç iş arkadaşını daha buldu. Hepsi, gerçek zamanlı ses klonlama ve yüz yeniden canlandırma teknolojisiyle yönlendirilen yapay zeka üretimi avatarlar, yani deepfake'lerdi. "CFO" tarafından sağlanan görsel ve işitsel doğrulama ile diğer "iş arkadaşlarının" sosyal kanıtı, çalışanın savunmasını tamamen çökertti. - **Sonuç:** Meşru emirlerle hareket ettiklerine ikna olan çalışan, dolandırıcı hesaplara toplam 200 milyon Hong Kong Doları (25,6 milyon ABD Doları) tutarında 15 banka havalesi yapılmasını onayladı. Deepfake teknolojisi ticarileşti. Karanlık web [pazarları](https://www.corbado.com/passkeys-for-e-commerce) artık video için 50 ABD Doları ve ses klonlama için 30 ABD Doları gibi düşük fiyatlara "Hizmet Olarak Deepfake" sunuyor. Teknoloji, canlı kimlik avı çağrılarını uygulanabilir kılarak düşük gecikmeyle gerçek zamanlı etkileşimi destekleyecek kadar gelişti. Deepfake kimlik avı saldırıları yalnızca 2025'in ilk çeyreğinde %1.633 arttı. ## 4. Quishing (QR Kod Kimlik Avı) Genellikle yapay zekanın gölgesinde kalmasına rağmen, mobil güvenlik açığından yararlanan "Quishing" (QR Kod Kimlik Avı) de paralel olarak büyüdü. Zararlı QR kodlarını kullanan saldırılar yıldan yıla %25 arttı. Quishing mekaniği, kurumsal savunmaları atlatmak için tasarlanmıştır. Aşağıdaki süreç akışında gösterildiği gibi saldırı, kullanıcının gömülü bir QR kodunu kişisel cihazıyla tarattığı bir "güvenlik boşluğundan" yararlanır, böylece saldırıyı mobil tarayıcıda yürütmeden önce Güvenli E-posta Ağ Geçidini (SEG) ve kurumsal uç nokta korumalarını atlatır. Saldırganlar, pazarlama materyallerine karışan "sanatsal" QR kodları oluşturmak için yapay zekayı giderek daha fazla kullanıyor ve bu da kullanıcının şüphesini daha da azaltıyor. ## 5. Endüstri ve Bölgesel Tehdit Analizi Bu tehditlerin etkisi tekdüze değildir. Farklı sektörler, varlık değerlerine ve operasyonel tempolarına bağlı olarak PhaaS ve yapay zeka odaklı saldırıların farklı varyasyonlarıyla karşı karşıyadır. ### 5.1 Bankacılık ve Finansta Hizmet Olarak Kimlik Avı Finans sektörü, en yüksek hacimli kimlik avı saldırılarını oluşturarak en çok hedeflenen sektör olmaya devam ediyor. - **VibeScamming Portalları:** Saldırganlar, bölgesel banka giriş portallarının kısa ömürlü, aslına son derece sadık klonlarını oluşturmak için Lovable gibi araçlar kullanır. Bu siteler genellikle 24 saatten daha kısa bir süre yayında kalır ve yayından kaldırma işlemlerini etkisiz hale getirir. - **Deepfake Doğrulama Dolandırıcılığı:** Büyüyen bir eğilim, telefon [bankacılığı](https://www.corbado.com/passkeys-for-banking) güvenlik doğrulamasını geçmek için ses klonlamayı kullanan saldırganları içermektedir. Hesap sahibini taklit ederek transferlere izin verirler veya parolaları sıfırlarlar. Yaşlı vatandaşlar, vishing saldırılarında %40'lık bir artış gördü ve bu da söz konusu kampanyaların yağmacı doğasını vurguluyor. ### 5.2 Sağlık Hizmetlerinde Hizmet Olarak Kimlik Avı [Sağlık hizmetleri](https://www.corbado.com/passkeys-for-healthcare) için kimlik avı öncelikle fidye yazılımı için bir ilk erişim vektörüdür. - **Maliyet Etkisi:** [Sağlık sektöründeki](https://www.corbado.com/passkeys-for-healthcare) bir ihlalin ortalama maliyeti 9,77 milyon ABD Dolarıdır; bu da tüm sektörlerin en yükseğidir. - **Operasyonel Tuzaklar:** Saldırganlar, "Vardiya Planlaması", "Hasta Portalı Yöneticisi" veya "Maaş Bordrosu Güncellemeleri" ile ilgili tuzaklarla hastane personelini hedef almaktadır. Klinik ortamların aciliyeti, personeli bu operasyonel tuzaklara karşı oldukça duyarlı hale getirir. - **Tedarik Zinciri:** Saldırılar genellikle ele geçirilmiş satıcı hesaplarından (örneğin tıbbi cihaz tedarikçileri) kaynaklanır ve şüpheyi aşmak için güvenilir ilişkiden yararlanır. ### 5.3 Perakende ve Üretimde Hizmet Olarak Kimlik Avı Üretim kuruluşları, küresel düşüş eğilimine meydan okuyarak 2024'te en yüksek sayıda fidye yazılımı olayıyla karşılaştı. - **Eski Teknoloji:** Üretim genellikle eski Operasyonel Teknolojiye (OT) ve daha eski Windows sistemlerine dayanır; bu da onları kimlik avı yoluyla ilk erişim sağlandıktan sonra bilinen istismarlara karşı savunmasız hale getirir. - **Marka Taklidi:** Perakendeciler, saldırganların tüketicileri avlamak için sahte ürün incelemeleri, hileli faturalar ve sahte kargo bildirimleri (örneğin "Kargonuz gecikti") oluşturmak için yapay zeka kullandığı marka gaspı saldırılarıyla karşı karşıyadır. - **APAC (Asya-Pasifik) Dalgalanması:** [Asya-Pasifik bölgesi, büyük ölçüde küresel tedarik zinciri için çok önemli olan üretim merkezlerine yönelik saldırılardan kaynaklanan %13'lük bir saldırı artışı yaşadı](https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/2025-threat-intelligence-index). ## 6. PhaaS'a Karşı Stratejik Savunma ve Dayanıklılık Geçtiğimiz on yılın savunmaları (imza tabanlı tespit, kara listeler ve temel kullanıcı eğitimi), yapay zeka odaklı, proxy tabanlı saldırılara karşı başarısız oluyor. Kimlik Odaklı Savunmaya ve Davranışsal Analize geçiş gereklidir. ### 6.1 Hizmet Olarak Kimlik Avına Karşı Teknik Kontroller Kimlik avı sorunlarını ele almak için birkaç vektörün aynı anda ele alınması gerekir. #### 1. Kimlik Avına Dayanıklı MFA - **Savunma:** Yöneticiler, eski kimlik doğrulama yöntemlerini engelleyen **Koşullu Erişim Politikaları** uygulamalıdır. Kullanıcının tarayıcısı parola/SMS akışına düşmeye çalışırsa, oturum açma engellenmelidir. - **En Yüksek Şifreleme:** FIDO geçiş anahtarları, kimlik bilgisini cihaza fiziksel olarak bağlayarak uzaktan tekrar oynatma saldırılarını neredeyse imkansız hale getirdiği için en yüksek korumayı sunar. #### 2. Görsel ve Davranışsal Yapay Zeka: - **Bilgisayarla Görme:** Güvenlik araçları, bir web sayfasının _işlenmiş_ görünümünü analiz etmelidir. Kod, Sezar şifrelemeleriyle gizlenmiş olsa bile işlenen sayfa bir Microsoft oturum açma işlemi gibi _görünür_. Bilgisayarla görme modelleri bu görsel benzerliği tespit edebilir ve siteyi engelleyebilir. - **Davranışsal Temel Çizgiler:** Check Point ve Proofpoint gibi platformlar davranışsal temel çizgilere doğru ilerliyor. E-postaların _amacını_ ve _bağlamını_ analiz ederler (örneğin, "CFO'nun Pazar günü saat 23:00'te banka havalesi istemesi normal midir?"). Anormallikler, gönderenin itibarına bakılmaksızın uyarıları tetikler. ### 6.2 İnsan Riski Yönetimi (HRM) - **Deepfake Tatbikatları:** Güvenlik farkındalığı eğitimi artık deepfake ses ve videoya maruz kalmayı da içermelidir. Çalışanların tehdidi anlamaları için bu sahtekarlıkların kalitesini güvenli bir ortamda deneyimlemeleri gerekir. - **"Meydan Okuma-Yanıt" Protokolü:** Kuruluşlar finansal işlemler için bant dışı bir doğrulama protokolü uygulamalıdır. Bir görüntülü arama fon transferi isterse, çalışan bunu ikincil bir kanal (örneğin şifreli bir sohbet uygulaması veya bilinen dahili bir numaraya telefon görüşmesi) üzerinden doğrulamalıdır. - **Raporlama Kültürü:** Güvenlik kültürü için en etkili metrik raporlama oranıdır. Birinci sınıf kuruluşlar %20'nin üzerinde raporlama oranlarına ulaşır. Etkili eğitim programlarına sahip kuruluşlar, bir yıl içinde kimlik avına duyarlılığı %86 oranında azaltabilir. ### 6.3 Politika ve Yönetişim - **SEC İfşası:** Yeni SEC siber güvenlik ifşa kuralları (Form 8-K), önemli olayların hızlı bir şekilde bildirilmesini gerektirir. Bir ulus devlet aktörüne atfedilen 2024/2025'teki F5 Networks ihlali, Adalet Bakanlığı'nın (DOJ) ulusal güvenlik nedenleriyle gecikme talep edebileceği bu ifşaların karmaşıklığını vurguladı. - **NIS2 Direktifi:** Avrupa'da NIS2 direktifi katı olay bildirme ve risk yönetimi önlemlerini zorunlu kılarak kuruluşları kimlik avının yol açtığı riskler de dahil olmak üzere tedarik zinciri risklerinin mülkiyetini üstlenmeye zorluyor. ## 7. Corbado Nasıl Yardımcı Olabilir? Corbado, parolaları ve OTP tabanlı MFA'yı **kimlik avına dayanıklı, FIDO tabanlı geçiş anahtarları** ile değiştirerek, kimlik doğrulamanın kullanıcının cihazına ve menşeine kriptografik olarak bağlanmasını sağlar; böylece ortadaki düşman saldırılarını ve oturum tekrarını etkisiz hale getirir. Geçiş anahtarları, Tycoon 2FA gibi son derece sofistike PhaaS kitleri tarafından bile yeniden kullanılamaz, proxy'lenemez veya dışarı sızdırılamaz. Corbado, gerçek dünyadaki kurumsal ortamlar için tasarlanmıştır: mevcut kimlik doğrulama yığınlarına entegre olur, kademeli kullanıma sunmayı destekler ve kullanıcı sürtünmesi eklemeden güçlü MFA sağlar. Sonuç, ölçülebilir ölçüde daha yüksek güvenlik, daha iyi oturum açma başarı oranları ve geniş ölçekte yapay zeka güdümlü kimlik avına karşı dayanıklı bir savunmadır. ## 8. Sonuç: Hizmet Olarak Kimlik Avı Kimlik avı tehdit ortamının yörüngesi **otonom adaptasyona** işaret ediyor. "Otomatik" saldırıların ötesine geçerek "otonom" saldırılara geçiyoruz. Gelecekteki yapay zeka ajanları sadece önceden tanımlanmış bir komut dosyasını yürütmeyecek; savunucunun yanıtından ders çıkaracaklar. Bir savunucu bir IP'yi engellerse, yapay zeka onu döndürecektir. Bir savunucu bir güvenlik açığını yama yaparsa, yapay zeka istismarı yeniden yazacaktır. Bu makalede ayrıca aşağıdaki temel soruları da yanıtladık: 1. **Hizmet Olarak Kimlik Avı (PhaaS) Nedir?** Hizmet Olarak Kimlik Avı, hazır kimlik avı kitlerinin, altyapının ve desteğin abonelikler aracılığıyla satıldığı, düşük becerili saldırganların bile ortadaki düşman teknikleri yoluyla MFA'yı atlatabilen son derece etkili, ölçeklenebilir saldırılar başlatmasına olanak tanıyan suç amaçlı, SaaS tarzı bir ekosistemdir. 2. **Modern kimlik avı saldırılarında yapay zekanın rolü nedir?** Yapay zeka, son derece inandırıcı, ısmarlama tuzaklar ("vibe scamming") üreterek, otonom ajan saldırılarına güç vererek ve insan doğrulamasını ile geleneksel güvenlik kontrollerini yenebilecek gerçek zamanlı deepfake ses ve video dolandırıcılığını etkinleştirerek kimlik avının ölçeklenmesini ve uyarlanmasını sağlar. 3. **Kuruluşlar modern kimlik avına karşı nasıl savunma yapabilir (teknik kontroller, insan riski yönetimi ve yönetişim/politika)?** Kuruluşlar, kimlik avına dayanıklı, donanım destekli kimlik doğrulamayı (örneğin FIDO geçiş anahtarları) ve davranışsal/görsel yapay zeka algılamasını, güçlü yönetişim ve olay bildirme ile tedarik zinciri riski düzenlemelerine (örneğin SEC kuralları ve NIS2) uyum ile güçlendirilen deepfake farkındalığı ve bant dışı doğrulama protokolleri gibi insan riski yönetimiyle birleştirmelidir. ## Sıkça Sorulan Sorular ### Vibe scamming nedir ve kurumsal güvenlik için neden bir tehdittir? Vibe scamming, basit doğal dil komutlarından tamamen işlevsel kimlik avı sayfaları oluşturmak için Lovable gibi kodsuz yapay zeka platformlarından yararlanır. Guardio Labs, ChatGPT için 8/10 olan zararlı istekleri reddetme oranının Lovable'da yalnızca 1,8/10 puan aldığını buldu. Proofpoint, 2025'in başlarında aktif kötü amaçlı yazılım dağıtan on binlerce Lovable üretimi kimlik avı URL'si gözlemledi. ### Quishing kurumsal e-posta güvenlik ağ geçitlerini nasıl atlatır? Quishing, zararlı URL'leri e-postalardaki veya PDF'lerdeki QR kod görüntülerine gömer; Güvenli E-posta Ağ Geçitleri (SEG) bunları ayrıştıramaz. Kurban, kişisel bir akıllı telefonla kodu tarayarak kimlik avı sitesi mobil tarayıcıda yüklenmeden önce kurumsal uç nokta korumalarını atlatır. Bu saldırı vektörü yıldan yıla %25 büyüdü ve tespit edilmesi giderek zorlaşıyor. ### Arup deepfake dolandırıcılığı vakasında ne oldu ve bu kimlik doğrulama için ne anlama geliyor? 2024'te saldırganlar, CFO'nun ve çok sayıda iş arkadaşının hepsinin gerçek zamanlı deepfake olduğu bir video görüşmesi düzenleyerek bir Arup çalışanını toplam 200 milyon HKD (25,6 milyon ABD Doları) tutarında 15 banka havalesi yetkisi vermesi için ikna etti. Olay, video görüşmelerindeki görsel ve işitsel onayın ikincil bir bant dışı onay kanalı olmadan artık güvenilir bir doğrulama yöntemi olarak hizmet edemeyeceğini gösteriyor. ### Neden FIDO geçiş anahtarları SMS veya kimlik doğrulayıcı uygulaması MFA'sından PhaaS saldırılarına karşı daha dirençlidir? FIDO geçiş anahtarları kullanıcının belirli cihazına ve meşru menşe alan adına kriptografik olarak bağlıdır, dolayısıyla bir AiTM saldırısındaki ters proxy bunları yakalayamaz veya tekrar oynatamaz. SMS kodlarının veya OTP belirteçlerinin aksine, geçiş anahtarları asla paylaşılabilir bir sır aktarmaz ve Tycoon 2FA gibi karmaşık platformlar için bile ele geçirilmelerini etkisiz hale getirir. ### Güçlü bir güvenlik kültürünü ölçmek için bir kuruluş hangi kimlik avı raporlama oranını hedeflemelidir? Makaleye göre, dünya standartlarındaki kuruluşlar %20'nin üzerinde kimlik avı raporlama oranlarına ulaşıyor. Etkili eğitim programlarına sahip kuruluşlar, genel kimlik avı duyarlılığını bir yıl içinde %86 oranında azaltabilir, bu da raporlama kültürünü teknik kontrollerle birlikte güvenlik duruşunun öncü bir göstergesi haline getirir.